Duqu

Duqu — компьютерный червь, обнаруженный 1 сентября 2011 года. Некоторые исследователи полагают, что он связан с червем Stuxnet[1]. Червь получил имя Duqu из-за префикса «~DQ», который использовался во всех именах файлов, создаваемых им[2].

Лаборатория криптографии и системной безопасности Будапештского университета технологии и экономики в Венгрии выпустила 60-страничный доклад, в котором анализировался данный червь[3]. В ходе проведённого расследования удалось выяснить, что распространение данной вредоносной программы происходило через электронную почту. Заражение системы происходит посредством свежей уязвимости в ядре Windows, допускающей выполнение вредоносного кода и определяемой как CVE-2011-3402[4]. После заражения системы и установления связи с сервером происходила загрузка и установка дополнительного модуля, предназначенного для сбора сведений о системе, поиска файлов, снятия скриншотов, перехвата паролей и ряда других функций[5].

Symantec считает, что создатели Duqu или создали Stuxnet, или имели доступ к исходному коду последнего, и их целью был сбор информации для следующей версии Stuxnet[6].

Язык программирования

Немалая часть Duqu — объектно-ориентированный фреймворк, написанный на неизвестном языке[7]. Вирусные лаборатории перепробовали даже такие экзотические языки, как Lua, Google Go и AngelScript, но потерпели неудачу, и им пришлось попросить помощи у сообщества. В конце концов разгадка нашлась: это оказался чистый Си, скомпилированный Microsoft Visual C++ с необычными настройками оптимизации[8].

Код был написан с применением объектно-ориентированного подхода, но на языке Си, а не Си++. Предполагается, что выбор языка Си был сделан автором-программистом старой закалки, который переходил с ассемблеров на Си, и которому Си++ не понравился. Применение Си в сочетании с ОО-подходом встречается в коммерческих программных проектах (например, движок Doom), но несвойственно для вредоносных программ и выделяет Duqu как необычную разработку[8].

См. также

Примечания
  1. Mikko. Duqu – Stuxnet 2 (англ.) (недоступная ссылка). F-Secure (18 сентября 2011). Дата обращения: 20 марта 2012. Архивировано 12 сентября 2012 года.
  2. Statement on Duqu's initial analysis (недоступная ссылка). Laboratory of Cryptography of Systems Security (CrySyS) (21 сентября 2011). Дата обращения: 25 сентября 2011. Архивировано 3 октября 2012 года.
  3. Duqu: A Stuxnet-like malware found in the wild, technical report (англ.) (недоступная ссылка). Laboratory of Cryptography of Systems Security (CrySyS) (14 ноября 2011). Архивировано 12 сентября 2012 года.
  4. CVE-2011-3402 (англ.). National Vulnerability Database (NVD). Дата обращения: 20 марта 2012.
  5. Александр Гостев. Тайна Duqu: Привет, “Mr. B. Jason” и “Dexter” (недоступная ссылка). SecureList (11 ноября 2011). Дата обращения: 20 марта 2012. Архивировано 29 сентября 2020 года.
  6. W32.Duqu. The precursor to the next Stuxnet Архивная копия от 9 августа 2014 на Wayback Machine.
  7. Игорь Суменков. Загадка фреймворка Duqu (недоступная ссылка). SecureList (7 марта 2012). Дата обращения: 20 марта 2012. Архивировано 25 февраля 2018 года.
  8. Игорь Суменков. Фреймворк Duqu: задача решена (недоступная ссылка). SecureList (19 марта 2012). Дата обращения: 20 марта 2012. Архивировано 14 августа 2020 года.

Ссылки


This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.