Вирусописатели взяли на вооружение неизвестный язык программирования

[Nostrum]

Эксперты «Лаборатории Касперского», анализировавшие код опасного трояна Duqu, пришли к весьма неожиданным выводам.

 

http://soft.compulenta.ru/upload/iblock/117/virus_600.jpg

Содержимое секции кода Payload DLL (иллюстрация «Лаборатории Касперского»).

 

Duqu, сообщения о повышенной активности которого появились в октябре 2011-го, имеет поразительное сходство с нашумевшим червём Stuxnet. Главная задача Duqu — сбор конфиденциальных данных об имеющемся на предприятии оборудовании и системах, используемых для управления производственным циклом. Это может быть любая информация, которая пригодится при организации нападения: скриншоты, логи с клавиатуры, список запущенных процессов, данные учётных записей пользователей и пр.

 

Один из важнейших нерешённых вопросов, связанных с Duqu, заключается в том, как эта троянская программа обменивается информацией со своими командными серверами после заражения компьютера-жертвы. Эксперты пришли к выводу, что модуль Duqu, отвечающий за коммуникацию, является частью его библиотеки с основным кодом (Payload DLL).

 

На первый взгляд, отмечает «Лаборатория Касперского», Payload DLL выглядит как обычная загружаемая библиотека формата Windows PE, скомпилированная Microsoft Visual Studio 2008 (версия компоновщика — 9.0). Однако при детальном изучении библиотеки специалисты обнаружили, что часть её кода, отвечающая за взаимодействие с командным сервером, написана на неизвестном языке программирования.

 

Странный участок назван исследователями «Фреймворком Duqu». Специалисты пришли к выводу, что применённый вирусописателями язык является объектно ориентированным и оптимально подходит для создания сетевых приложений. Возможно, авторы использовали собственные средства разработки для генерации промежуточного кода на C — либо применяли совершенно иной язык программирования.

 

«Язык, использованный в «Фреймворке Duqu», высокоспециализирован, — пишет «Лаборатория Касперского». — Он позволяет Payload DLL работать независимо от остальных модулей Duqu и обеспечивает подключение к выделенному командному серверу несколькими способами, в том числе через Windows HTTP, сетевые сокеты и прокси-серверы. Кроме того, он позволяет библиотеке обрабатывать прямые HTTP-запросы от командного сервера, незаметно пересылает копии украденных данных с зараженной машины на командный сервер и даже может доставлять дополнительные вредоносные модули на другие компьютеры в составе сети, то есть создаёт возможность контролируемо и скрытно распространять заражение на другие компьютеры».

 

Применение собственного языка программирования говорит о высочайшем уровне квалификации разработчиков трояна. «Лаборатория Касперского» обращается к сообществу программистов с просьбой о помощи в изучении этой предельно сложной вредоносной разработки.

 

Подготовлено по материалам «Лаборатории Касперского».

 

 

http://soft.compulenta.ru/666288/

[P1RoG]

Разработчики видимо одни и теже) Титанический труд)

[Хильмек ру]

Когда мы были студентами, почти каждый с курса писал и свой компилятор и свой язык. Смысла в этом нет.

[AlterEgo]

Смысла в этом нет.

смысл в этом есть. специфические задачи удобнее решать на заточенном под эту задачу языке. и пишется проще и быстрее, и работает быстрее и качественнее. так что если господа вирусописатели планируют работать над этими задачами долго и продуктивно, написать свой язык (точнее, диалект существующего, скорее всего) полезно.

[100]

чую грядёт жопа...

[AlterEgo]

чую грядёт жопа...

не волнуйся. по сути не важно, на каком языке пишется вирус или троян. их распознают по совершенно другим признакам, это не сильно осложнит борьбу с ними

[AlterEgo]

Ну вот, до работников Касперского дошло, это ОО С.

[100]

почитал блог там и действительно очень много подозрительного в этой "прокладке" специалистов лаб.Касперского =)

да и "Маша" там не хилые такие телеги постила, но и не она одна видно была "в теме", те кто действительно якобы "смог" помочь тоже предпочли остаться анонимами...

[Хильмек ру]

Смысла в этом нет.

смысл в этом есть. специфические задачи удобнее решать на заточенном под эту задачу языке. и пишется проще и быстрее, и работает быстрее и качественнее. так что если господа вирусописатели планируют работать над этими задачами долго и продуктивно, написать свой язык (точнее, диалект существующего, скорее всего) полезно.

 

Поверь мне на слово - смысла в этом нет))))

И писали они на Си по одной простой причине - альтернативы нет. А писали они с классами на Си, но не на cpp, что тоже о многом говорит.

Половина существующих языков написана на Си.

 

Написать свой язык(точнее - фреймворк) нешуточное дело, поэтому ничего сверхестественного там быть не может просто. А то, что ЛК не смогли опознать Си в течении такого времени - или какой-то странный пиар, или они там упоротые.

[AlterEgo]

Поверь мне на слово - смысла в этом нет

оч. смешно. я так намекну, что работаю в айти и в этом сам неплохо разбираюсь. так что может лучше ты мне на слово поверишь? =)

[Хильмек ру]

оч. смешно. я так намекну, что работаю в айти и в этом сам неплохо разбираюсь. так что может лучше ты мне на слово поверишь? =)

Дядьк, я работаю кодером и учился на него))

 

Никто не будет никогда делать ни язык ни даже фреймворк в полноценном его понимании для вирмейкерства как минимум потому, что это удел "маргиналов", единиц. Обрати внимание, даже плюсы используются не так часто.

Да и не нужно это, если есть Си и плюсы-стл-буст.

[McWolf]

пусть у DrWeb'а спросят, что они использовали при написании вируса... И не надоело им еще друг другу вирусы писать...

 

плюсы-стл-буст.

Эт че ваще? Напиши нормальным языком А то я так знаю для себя столько С и Ассемблер, остальное не приемлю

[Димитр]

Мде, а про предшифрование кода ваще нихто не знает ...., ну написали ребятки библиотечку для себя, на асмбле, и включили инклудом и, все ппц новый язык

(а по поводу языков, помню в далеких годах .... написал на лиспе сортировку масива, в каком то сапре, смотрю а она сложности n ....,

как я потом полюбил ентот язык когда понял где еще n зарыт)

[Хильмек ру]

Эт че ваще? Напиши нормальным языком А то я так знаю для себя столько С и Ассемблер, остальное не приемлю

C++, STL, Boost. Язык, включенная в его стандарт библиотека шаблонов и одна из самых популярных и мощных библиотек Boost