Вирусописатели взяли на вооружение неизвестный язык программ

Все о компьютерах, цифровых и информационных технологиях. Также рассматриваются вопросы информационной безопасности и "выживания" в интернет.
Ответить
Аватара пользователя
dj57rus
Ц.И.А.Н.
Ц.И.А.Н.
Сообщения: 1273
Зарегистрирован: 07.11.2010, 21:49

Вирусописатели взяли на вооружение неизвестный язык программ

Сообщение dj57rus »

Вирусописатели взяли на вооружение неизвестный язык программирования

Эксперты «Лаборатории Касперского», анализировавшие код опасного трояна Duqu, пришли к весьма неожиданным выводам.
Изображение
Содержимое секции кода Payload DLL (иллюстрация «Лаборатории Касперского»).
Duqu, сообщения о повышенной активности которого появились в октябре 2011-го, имеет поразительное сходство с нашумевшим червём Stuxnet. Главная задача Duqu — сбор конфиденциальных данных об имеющемся на предприятии оборудовании и системах, используемых для управления производственным циклом. Это может быть любая информация, которая пригодится при организации нападения: скриншоты, логи с клавиатуры, список запущенных процессов, данные учётных записей пользователей и пр.

Один из важнейших нерешённых вопросов, связанных с Duqu, заключается в том, как эта троянская программа обменивается информацией со своими командными серверами после заражения компьютера-жертвы. Эксперты пришли к выводу, что модуль Duqu, отвечающий за коммуникацию, является частью его библиотеки с основным кодом (Payload DLL).

На первый взгляд, отмечает «Лаборатория Касперского», Payload DLL выглядит как обычная загружаемая библиотека формата Windows PE, скомпилированная Microsoft Visual Studio 2008 (версия компоновщика — 9.0). Однако при детальном изучении библиотеки специалисты обнаружили, что часть её кода, отвечающая за взаимодействие с командным сервером, написана на неизвестном языке программирования.

Странный участок назван исследователями «Фреймворком Duqu». Специалисты пришли к выводу, что применённый вирусописателями язык является объектно ориентированным и оптимально подходит для создания сетевых приложений. Возможно, авторы использовали собственные средства разработки для генерации промежуточного кода на C — либо применяли совершенно иной язык программирования.

«Язык, использованный в «Фреймворке Duqu», высокоспециализирован, — пишет «Лаборатория Касперского». — Он позволяет Payload DLL работать независимо от остальных модулей Duqu и обеспечивает подключение к выделенному командному серверу несколькими способами, в том числе через Windows HTTP, сетевые сокеты и прокси-серверы. Кроме того, он позволяет библиотеке обрабатывать прямые HTTP-запросы от командного сервера, незаметно пересылает копии украденных данных с зараженной машины на командный сервер и даже может доставлять дополнительные вредоносные модули на другие компьютеры в составе сети, то есть создаёт возможность контролируемо и скрытно распространять заражение на другие компьютеры».

Применение собственного языка программирования говорит о высочайшем уровне квалификации разработчиков трояна. «Лаборатория Касперского» обращается к сообществу программистов с просьбой о помощи в изучении этой предельно сложной вредоносной разработки.
BN23-exGSA

Re: Вирусописатели взяли на вооружение неизвестный язык прог

Сообщение BN23-exGSA »

Неизвестный язык - это ассемблер самописный :D
Аватара пользователя
Raixx
Друг ЦИАН
Друг ЦИАН
Сообщения: 76
Зарегистрирован: 12.05.2011, 21:22
Откуда: Арзамас, НН

Re: Вирусописатели взяли на вооружение неизвестный язык прог

Сообщение Raixx »

На ассемблере неудобно, слишком много "ручками" делать приходится. Может быть, и высокоуровневое что-то, чтобы потом эти вирусы штамповать удобно было
Аватара пользователя
XAKER
Друг ЦИАН
Друг ЦИАН
Сообщения: 154
Зарегистрирован: 12.04.2011, 16:31
Откуда: Павловская-Слобода,Подмосковье
Контактная информация:

Re: Вирусописатели взяли на вооружение неизвестный язык прог

Сообщение XAKER »

Зато один раз на ассемблере оригинальный язык с компилятором создал и штампуй себе на здоровье вирусы, пока KAV\Dr.Web\NOD32\и т.д. понимают, что в коде вообще написано.
N ≡ C – C ≡ N

Не ссы, прорвемся!
Аватара пользователя
Raixx
Друг ЦИАН
Друг ЦИАН
Сообщения: 76
Зарегистрирован: 12.05.2011, 21:22
Откуда: Арзамас, НН

Re: Вирусописатели взяли на вооружение неизвестный язык прог

Сообщение Raixx »

http://ru.wikipedia.org/wiki/Duqu
В конце концов разгадка нашлась: это оказался чистый Си, скомпилированный Microsoft Visual C++ с необычными настройками оптимизации
Вот и вся любовь :D
Ответить