Перейти к содержанию

Вирусописатели взяли на вооружение неизвестный язык программирования

Nostrum
 Поделиться

Рекомендуемые сообщения

Nostrum

Nostrum

Опубликовано
Опубликовано

Эксперты «Лаборатории Касперского», анализировавшие код опасного трояна Duqu, пришли к весьма неожиданным выводам.

 

http://soft.compulenta.ru/upload/iblock/117/virus_600.jpg

Содержимое секции кода Payload DLL (иллюстрация «Лаборатории Касперского»).

 

Duqu, сообщения о повышенной активности которого появились в октябре 2011-го, имеет поразительное сходство с нашумевшим червём Stuxnet. Главная задача Duqu — сбор конфиденциальных данных об имеющемся на предприятии оборудовании и системах, используемых для управления производственным циклом. Это может быть любая информация, которая пригодится при организации нападения: скриншоты, логи с клавиатуры, список запущенных процессов, данные учётных записей пользователей и пр.

 

Один из важнейших нерешённых вопросов, связанных с Duqu, заключается в том, как эта троянская программа обменивается информацией со своими командными серверами после заражения компьютера-жертвы. Эксперты пришли к выводу, что модуль Duqu, отвечающий за коммуникацию, является частью его библиотеки с основным кодом (Payload DLL).

 

На первый взгляд, отмечает «Лаборатория Касперского», Payload DLL выглядит как обычная загружаемая библиотека формата Windows PE, скомпилированная Microsoft Visual Studio 2008 (версия компоновщика — 9.0). Однако при детальном изучении библиотеки специалисты обнаружили, что часть её кода, отвечающая за взаимодействие с командным сервером, написана на неизвестном языке программирования.

 

Странный участок назван исследователями «Фреймворком Duqu». Специалисты пришли к выводу, что применённый вирусописателями язык является объектно ориентированным и оптимально подходит для создания сетевых приложений. Возможно, авторы использовали собственные средства разработки для генерации промежуточного кода на C — либо применяли совершенно иной язык программирования.

 

«Язык, использованный в «Фреймворке Duqu», высокоспециализирован, — пишет «Лаборатория Касперского». — Он позволяет Payload DLL работать независимо от остальных модулей Duqu и обеспечивает подключение к выделенному командному серверу несколькими способами, в том числе через Windows HTTP, сетевые сокеты и прокси-серверы. Кроме того, он позволяет библиотеке обрабатывать прямые HTTP-запросы от командного сервера, незаметно пересылает копии украденных данных с зараженной машины на командный сервер и даже может доставлять дополнительные вредоносные модули на другие компьютеры в составе сети, то есть создаёт возможность контролируемо и скрытно распространять заражение на другие компьютеры».

 

Применение собственного языка программирования говорит о высочайшем уровне квалификации разработчиков трояна. «Лаборатория Касперского» обращается к сообществу программистов с просьбой о помощи в изучении этой предельно сложной вредоносной разработки.

 

Подготовлено по материалам «Лаборатории Касперского».

 

 

Ссылка на комментарий
Поделиться на другие сайты
AlterEgo

AlterEgo

Опубликовано
Опубликовано

Смысла в этом нет.

смысл в этом есть. специфические задачи удобнее решать на заточенном под эту задачу языке. и пишется проще и быстрее, и работает быстрее и качественнее. так что если господа вирусописатели планируют работать над этими задачами долго и продуктивно, написать свой язык (точнее, диалект существующего, скорее всего) полезно.

Ссылка на комментарий
Поделиться на другие сайты
AlterEgo

AlterEgo

Опубликовано
Опубликовано

чую грядёт жопа...

не волнуйся. по сути не важно, на каком языке пишется вирус или троян. их распознают по совершенно другим признакам, это не сильно осложнит борьбу с ними

Ссылка на комментарий
Поделиться на другие сайты
100

100

Опубликовано
Опубликовано

почитал блог там и действительно очень много подозрительного в этой "прокладке" специалистов лаб.Касперского =)

да и "Маша" там не хилые такие телеги постила, но и не она одна видно была "в теме", те кто действительно якобы "смог" помочь тоже предпочли остаться анонимами...

Ссылка на комментарий
Поделиться на другие сайты
Хильмек ру

Хильмек ру

Опубликовано
Опубликовано

Смысла в этом нет.

смысл в этом есть. специфические задачи удобнее решать на заточенном под эту задачу языке. и пишется проще и быстрее, и работает быстрее и качественнее. так что если господа вирусописатели планируют работать над этими задачами долго и продуктивно, написать свой язык (точнее, диалект существующего, скорее всего) полезно.

 

Поверь мне на слово - смысла в этом нет))))

И писали они на Си по одной простой причине - альтернативы нет. А писали они с классами на Си, но не на cpp, что тоже о многом говорит.

Половина существующих языков написана на Си.

 

Написать свой язык(точнее - фреймворк) нешуточное дело, поэтому ничего сверхестественного там быть не может просто. А то, что ЛК не смогли опознать Си в течении такого времени - или какой-то странный пиар, или они там упоротые.

Ссылка на комментарий
Поделиться на другие сайты
AlterEgo

AlterEgo

Опубликовано
Опубликовано

Поверь мне на слово - смысла в этом нет

оч. смешно. я так намекну, что работаю в айти и в этом сам неплохо разбираюсь. так что может лучше ты мне на слово поверишь? =)

Ссылка на комментарий
Поделиться на другие сайты
Хильмек ру

Хильмек ру

Опубликовано
Опубликовано
оч. смешно. я так намекну, что работаю в айти и в этом сам неплохо разбираюсь. так что может лучше ты мне на слово поверишь? =)

Дядьк, я работаю кодером и учился на него))

 

Никто не будет никогда делать ни язык ни даже фреймворк в полноценном его понимании для вирмейкерства как минимум потому, что это удел "маргиналов", единиц. Обрати внимание, даже плюсы используются не так часто.

Да и не нужно это, если есть Си и плюсы-стл-буст.

Ссылка на комментарий
Поделиться на другие сайты
McWolf

McWolf

Опубликовано
Опубликовано

пусть у DrWeb'а спросят, что они использовали при написании вируса... И не надоело им еще друг другу вирусы писать...

 

плюсы-стл-буст.

Эт че ваще? Напиши нормальным языком :) А то я так знаю для себя столько С и Ассемблер, остальное не приемлю :)

Ссылка на комментарий
Поделиться на другие сайты
Димитр

Димитр

Опубликовано
Опубликовано

Мде, а про предшифрование кода ваще нихто не знает ...., ну написали ребятки библиотечку для себя, на асмбле, и включили инклудом и, все ппц новый язык

(а по поводу языков, помню в далеких годах .... написал на лиспе сортировку масива, в каком то сапре, смотрю а она сложности n ....,

как я потом полюбил ентот язык когда понял где еще n зарыт)

Ссылка на комментарий
Поделиться на другие сайты
Хильмек ру

Хильмек ру

Опубликовано
Опубликовано

Эт че ваще? Напиши нормальным языком :) А то я так знаю для себя столько С и Ассемблер, остальное не приемлю :)

C++, STL, Boost. Язык, включенная в его стандарт библиотека шаблонов и одна из самых популярных и мощных библиотек Boost

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...