» » Фреймворк Duqu
12 марта 2012; 14:11

Фреймворк Duqu

Категория: софт



Компания "Лаборатория Касперского" обнаружила, что часть вредоносной программы Duqu написана на неизвестном языке программирования.

Duqu представляет собой сложную троянскую программу. Его главной задачей является обеспечение злоумышленникам доступа в систему с целью кражи конфиденциальной информации. Впервые троянец был обнаружен в сентябре прошлого года, однако, по данным "Лаборатории Касперского", следы вредоносного кода, имеющего отношение к Duqu, появились еще в августе 2007 года. Специалисты компании заявили, что ими были зафиксированы более десятка инцидентов, произошедших при участии зловреда, причем его жертвы преимущественно находились в Иране.

Анализ рода деятельности организаций, пострадавших в результате инцидентов, а также характера информации, на получение которой были направлены атаки, дали возможность предположить, что основной целью создателей троянца была кража информации об автоматизированных системах управления, используемых в различных отраслях промышленности, а также сбор данных о коммерческих связях целого ряда иранских организаций.

Специалистам до сих пор остается непонятным, как троянец обменивался информацией со своими командными серверами после заражения компьютера-жертвы. Модуль Duqu, отвечающий за коммуникацию с командными серверами, является частью его библиотеки с основным кодом (Payload DLL).

При изучении данной библиотеки эксперты обнаружили, что часть ее кода, отвечающая за коммуникацию с командным сервером, написана на неизвестном языке программирования, и назвали этот участок "Фреймворк Duqu". Данная часть не написана на языке C++ и скомпилирована не при помощи Microsoft Visual C++ 2008.

Возможно, авторы использовали собственные средства разработки для генерации промежуточного кода на C, либо они использовали совершенно иной язык программирования. В любом случае, эксперты пришли к выводу, что язык является объектно-ориентированным и оптимально подходит для разработки сетевых приложений.

Язык, использованный в "Фреймворке Duqu", является высокоспециализированным. Он позволяет Payload DLL работать независимо от остальных модулей Duqu и обеспечивает подключение к выделенному командному серверу несколькими способами, в том числе через Windows HTTP, сетевые сокеты и прокси-серверы.

Он также позволяет библиотеке обрабатывать прямые HTTP-запросы от командного сервера, незаметно пересылает копии украденных данных с зараженной машины на командный сервер и может доставлять дополнительные вредоносные модули на другие компьютеры в составе сети.

"Учитывая масштаб проекта Duqu, весьма вероятно, что созданием "Фреймворка Duqu" занималась совершенно другая команда, не та, что разрабатывала драйверы и писала эксплойты для заражения системы. Принимая во внимание чрезвычайно высокий уровень кастомизации и эксклюзивности, имевший место при создании языка программирования, можно предположить, что он был разработан с целью не только затруднить понимание сторонними лицами особенностей операции по кибершпионажу и взаимодействия с командными серверами, но и отделить этот проект от работы других групп, участвовавших в создании Duqu и отвечавших за написание дополнительных элементов вредоносной программы", - прокомментировал Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского".

Теги: вирус троян virus trojan

© www.astera.ru

<
Tensor

12 марта 2012 14:30

Информация к комментарию
  • Группа: Ксеноморф
  • Регистрация: 8.03.2011
  • Статус: Пользователь offline
  • Публикаций: 44
  • Комментариев: 152
Круто :)

-✂------------

<
Ernesto

12 марта 2012 16:38

Информация к комментарию
  • Группа: Гости
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
СКАЙНЕТ НАСТУПАЕ!!!!11111
<
stalk3rr

12 марта 2012 19:49

Информация к комментарию
  • Группа: Ксеноморф
  • Регистрация: 9.03.2009
  • Статус: Пользователь offline
  • Публикаций: 33
  • Комментариев: 1 288
Фигасе... wassat
Мне больше нечего сказать wink

-✂------------

<
SGA_Killer

13 марта 2012 05:15

Информация к комментарию
  • Группа: Ксеноморф
  • Регистрация: 5.10.2007
  • Статус: Пользователь offline
  • Публикаций: 12
  • Комментариев: 12
Данная часть не написана на языке C++ и скомпилирована не при помощи Microsoft Visual C++ 2008.

Это позор. Как не стыдно такое писать рядом со словом "Специалисты"... Видать троечников понабрали.

-✂------------

<
BlacKKaT

15 марта 2012 17:33

Информация к комментарию
  • Группа: Ксеноморф
  • Регистрация: 26.11.2010
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 352
Таких проектов должно быть вообще очень много..инъекции,черви и прочее уже давно написаны во всех возможных вариантах и много лет с нами и пора бы давно выдумать что-то новое.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.