Эксперты «Лаборатории Касперского», анализировавшие код опасного трояна Duqu, пришли к весьма неожиданным выводам.
Содержимое секции кода Payload DLL (иллюстрация «Лаборатории Касперского»).
Один из важнейших нерешённых вопросов, связанных с Duqu, заключается в том, как эта троянская программа обменивается информацией со своими командными серверами после заражения компьютера-жертвы. Эксперты пришли к выводу, что модуль Duqu, отвечающий за коммуникацию, является частью его библиотеки с основным кодом (Payload DLL).
На первый взгляд, отмечает «Лаборатория Касперского», Payload DLL выглядит как обычная загружаемая библиотека формата Windows PE, скомпилированная Microsoft Visual Studio 2008 (версия компоновщика — 9.0). Однако при детальном изучении библиотеки специалисты обнаружили, что часть её кода, отвечающая за взаимодействие с командным сервером, написана на неизвестном языке программирования.
Странный участок назван исследователями «Фреймворком Duqu». Специалисты пришли к выводу, что применённый вирусописателями язык является объектно ориентированным и оптимально подходит для создания сетевых приложений. Возможно, авторы использовали собственные средства разработки для генерации промежуточного кода на C — либо применяли совершенно иной язык программирования.
«Язык, использованный в «Фреймворке Duqu», высокоспециализирован, — пишет «Лаборатория Касперского». — Он позволяет Payload DLL работать независимо от остальных модулей Duqu и обеспечивает подключение к выделенному командному серверу несколькими способами, в том числе через Windows HTTP, сетевые сокеты и прокси-серверы. Кроме того, он позволяет библиотеке обрабатывать прямые HTTP-запросы от командного сервера, незаметно пересылает копии украденных данных с зараженной машины на командный сервер и даже может доставлять дополнительные вредоносные модули на другие компьютеры в составе сети, то есть создаёт возможность контролируемо и скрытно распространять заражение на другие компьютеры».
Применение собственного языка программирования говорит о высочайшем уровне квалификации разработчиков трояна. «Лаборатория Касперского» обращается к сообществу программистов с просьбой о помощи в изучении этой предельно сложной вредоносной разработки.