Тайна неизвестного языка программирования в троянце Duqu раскрыта
Главная » Новости

Тайна неизвестного языка программирования в троянце Duqu раскрыта

Николай Головко 20 Марта 2012 - 08:07
...

В блоге Securelist появилось сообщение о том, что экспертам "Лаборатории Касперского" удалось разгадать загадку неведомого языка программирования, который они обнаружили ранее в известном троянском коне Duqu. Просьба о содействии в решении этой проблемы нашла широкий отклик среди специалистов, и их подсказки в конце концов навели вирусных аналитиков на верный путь.

Эксперт компании Игорь Суменков пишет, что сообщения о таинственном "фреймворке Duqu" собрали более 200 комментариев и 60 электронных писем - результат, превысивший все ожидания. Наиболее популярными у участников обсуждения были такие варианты, как LISP, Forth, Erlang, Google Go, Delphi, OO C; кроме того, высказывались предположения, что специфика проблемного кода связана с использованием устаревших компиляторов С++ и других языков. Автор отмечает также несколько комментариев и писем, которые оказались наиболее полезны специалистам "Лаборатории Касперского".

"Помощь зала" позволила точно установить, что злоумышленники использовали компилятор из поставки Microsoft Visual Studio. Проведя ряд экспериментов с различными модификациями и настройками, эксперт сумел воспроизвести код функции конструктора и получить из него бинарный код, аналогичный обнаруженному в Duqu. В итоге было сделано заключение, что т.н. "фреймворк Duqu" является результатом компиляции исходного текста на языке С посредством Visual Studio 2008 с параметрами /O1 /Ob1. Автор блог-записи поясняет, что возможны два варианта развития событий: либо при написании кода использовалась объектно ориентированная надстройка С, либо над ним работал программист, применявший соответствующие методы для "чистого" С. Более вероятным эксперту представляется первый вариант, поскольку количество однотипного кода в тексте предполагает наличие препроцессора.

По мнению аналитика, использование объектно ориентированного расширения языка С могло быть продиктовано либо недоверием к компиляторам С++, либо потребностью в широкой переносимости / совместимости. Оба варианта с высокой степенью вероятности указывают на то, что разработка "фреймворка Duqu" велась профессиональными программистами "старой школы", имеющими многолетний опыт работы. Подход, примененный создателями Duqu, задействуется обычно в крупных коммерческих программных проектах, в то время как во вредоносных программах он практически не встречается.

Securelist

Письмо автору

" />

Следующая главная новость »
AM LiveРоссийские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Россиян лишили доступа к 20 VPN в App Store
Яков Шпунт 30 Марта 2026 - 09:59
Соответствие законодательству РФ Домашние пользователиГосударство Персональный VPNАнонимайзеры
Россиян лишили доступа к 20 VPN в App Store

Российским пользователям мобильных устройств Apple стали недоступны около 20 VPN-сервисов. Разработчики одного из них прямо заявили, что приложение было удалено по требованию Роскомнадзора. Среди исчезнувших оказались Streisand, V2Box, v2RayTun и одна из версий Happ.

При этом более функциональная версия последнего приложения — Happ - Proxy Utility Plus — в App Store сохранилась.

Об исчезновении около 20 приложений сообщил портал «Код Дурова».

Разработчики v2RayTun назвали причиной скрытия приложения требование Роскомнадзора. В подтверждение они привели фрагмент переписки с Apple, где прямо говорится, что приложение удалено по запросу российского регулятора, который считает, что оно распространяет незаконный контент.

«Настоящим письмом мы уведомляем вас о том, что ваше приложение по требованию Роскомнадзора будет удалено из российского App Store, поскольку оно содержит незаконный в России контент, который не соответствует требованиям „Руководства по проверке приложений“», — такую выдержку из письма Apple приводит Rozetked.

В Google Play те же приложения для Android, которая значительно более распространена в России, остались доступны.

Всего, по состоянию на конец февраля, Роскомнадзор заявил о блокировке 469 VPN-сервисов. В целом активность регулятора по противодействию таким инструментам в текущем году заметно усилилась.

AM LiveРоссийские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!
Уязвимость в ZenCount не устраняют почти полгода
Новость
Уязвимость в ZenCount не устраняют почти полгода
Google закрыла первую эксплуатируемую дыру в Chrome в 2026-м
Новость
Google закрыла первую эксплуатируемую дыру в Chrome в 2026-м
Бывший руководитель Ростелекома арестован по делу о взятке
Новость
Бывший руководитель Ростелекома арестован по делу о взятке

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.