Kaspersky Lab identifikovala záhadný jazyk v trojském koni Duqu a děkuje programátorské komunitě za pomoc

Odborníkům společnosti Kaspersky Lab se podařilo identifikovat dosud neznámý programovací jazyk nalezený v Payload DLL trojského koně Duqu. I díky pomoci programátorské komunity zjistili, že Duqu Framework sestává ze zdrojového kódu C kompilovaného v Microsoft Visual Studio 2008 se speciálními možnostmi optimalizace velikosti kódu a řádkového rozvoje (takzvané inline expansion). Kód byl navíc napsán s upravenou extenzí pro kombinaci objektově orientovaného programování s jazykem C, jež je označována jako „OO C“. (TZ)

Sekce s neznámým kódem, pojmenovaná „Duqu Framework“, tvoří část Payload DLL, jež po infikaci zařízení zajišťovala komunikaci trojského koně s řídícími (C&C) servery. Tento způsob vysoce sofistikovaného programování se spíše než v malwaru uplatňuje v komplexních „civilních“ softwarových projektech. Ačkoli zatím chybí jednoduchá odpověď na otázku, proč byl pro Duqu Framework použit OO C namísto C++, existují dva důvody, které za touto volbou mohly stát:

  • Lepší kontrola nad kódem: Po uvedení jazyka C++ řada programátorů „ze staré školy“ tuto novinku nepřijala kvůli nedůvěře v přidělování paměti a dalším novým prvkům, které vyvolávají nepřímé spuštění kódu. OO C by tak představoval spolehlivější variantu s menším rizikem nečekaného chování.
  • Vysoká přenositelnost: Před asi 10 – 12 lety nebyl jazyk C++ plně standardizován a některé C++ kódy tak nemusely být kompatibilní s každým kompilátorem. Použití jazyka C zajišťuje vysokou přenositelnost programu, protože mu umožňuje fungovat na všech existujících platformách bez omezení spojených s jazykem C++.

„Tyto dva důvody nasvědčují tomu, že byl kód napsán týmem zkušených vývojářů „ze staré školy“, jejichž cílem bylo vytvořit speciální framework pro vysoce flexibilní a přizpůsobivý škodlivý software. Kód mohl být již dříve použit při různých kybernetických operacích a nyní pouze nově přizpůsoben potřebám trojského koně Duqu,“ vysvětluje analytik Kaspersky Lab Igor Sumenkov.

Společnost Kaspersky Lab by tímto chtěla poděkovat všem, kteří se na identifikaci neznámého kódu podíleli.  Kompletní zpráva o závěrech analýzy, jejímž autorem je Igor Sumenkov, je k dispozici na webu Securelist.com

O společnosti Kasperky Lab

Kaspersky Lab je největším poskytovatelem antivirových řešení v Evropě. Společnost nabízí jedny z nejúčinnějších bezpečnostních prostředků proti IT hrozbám, které jejím zákazníkům zajišťují ochranu před počítačovými viry, spywarem, crimewarem, hackery, phishingem a spamem. Společnost se řadí mezi čtyři celosvětově nejvýznamnější poskytovatele bezpečnostních řešení pro koncové uživatele. Produkty společnosti se díky vysoce účinné detekci hrozeb a téměř bezkonkurenčně rychlým odezvám na akutní ohrožení řadí mezi špičku na trhu s bezpečnostním software pro domácí uživatele, malé a střední podniky i velké společnosti a mobilní výpočetní technologie. Technologie Kaspersky jsou součástí řady produktů a služeb dodávaných předními poskytovateli IT zabezpečovacích řešení po celém světě.

Více informací o společnosti Kaspersky Lab najdete na www.kaspersky.com. Nejnovější informace o antivirových, antispywarových, antispamových a dalších bezpečnostních řešeních, problémech a trendech naleznete na www.securelist.com.