Показано с 1 по 1 из 1.

Тайна неизвестного языка программирования в троянце Duqu раскрыта

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,781
    Вес репутации
    140

    Тайна неизвестного языка программирования в троянце Duqu раскрыта

    В блоге Securelist появилось сообщение о том, что экспертам "Лаборатории Касперского" удалось разгадать загадку неведомого языка программирования, который они обнаружили ранее в известном троянском коне Duqu. Просьба о содействии в решении этой проблемы нашла широкий отклик среди специалистов, и их подсказки в конце концов навели вирусных аналитиков на верный путь.
    Эксперт компании Игорь Суменков пишет, что сообщения о таинственном "фреймворке Duqu" собрали более 200 комментариев и 60 электронных писем - результат, превысивший все ожидания. Наиболее популярными у участников обсуждения были такие варианты, как LISP, Forth, Erlang, Google Go, Delphi, OO C; кроме того, высказывались предположения, что специфика проблемного кода связана с использованием устаревших компиляторов С++ и других языков. Автор отмечает также несколько комментариев и писем, которые оказались наиболее полезны специалистам "Лаборатории Касперского".
    "Помощь зала" позволила точно установить, что злоумышленники использовали компилятор из поставки Microsoft Visual Studio. Проведя ряд экспериментов с различными модификациями и настройками, эксперт сумел воспроизвести код функции конструктора и получить из него бинарный код, аналогичный обнаруженному в Duqu. В итоге было сделано заключение, что т.н. "фреймворк Duqu" является результатом компиляции исходного текста на языке С посредством Visual Studio 2008 с параметрами /O1 /Ob1. Автор блог-записи поясняет, что возможны два варианта развития событий: либо при написании кода использовалась объектно ориентированная надстройка С, либо над ним работал программист, применявший соответствующие методы для "чистого" С. Более вероятным эксперту представляется первый вариант, поскольку количество однотипного кода в тексте предполагает наличие препроцессора.
    По мнению аналитика, использование объектно ориентированного расширения языка С могло быть продиктовано либо недоверием к компиляторам С++, либо потребностью в широкой переносимости / совместимости. Оба варианта с высокой степенью вероятности указывают на то, что разработка "фреймворка Duqu" велась профессиональными программистами "старой школы", имеющими многолетний опыт работы. Подход, примененный создателями Duqu, задействуется обычно в крупных коммерческих программных проектах, в то время как во вредоносных программах он практически не встречается.

    anti-malware.ru

  2. Реклама
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 07.03.2012, 20:50
  2. Sophos предупреждает о троянце под видом нового обновления Mozilla Firefox
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 11.08.2011, 18:10
  3. «Доктор Веб» сообщает о новом троянце, блокирующем доступ к файлам
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 12.12.2008, 12:46
  4. Раскрыта крупнейшая спамерская группировка
    От ScratchyClaws в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 15.10.2008, 11:25
  5. Вышла новая версия языка программирования PERL
    От ALEX(XX) в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 27.12.2007, 13:24

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00637 seconds with 18 queries