Duqu, następca słynnego trojana Stuxnet, został napisany w nieznanym języku programowania, którego nie mogą rozpoznać analitycy bezpieczeństwa. Poprosili oni otwarcie o pomoc na forach programistycznych. Jednak programiści też mają problemy z identyfikacją - poinformowały media.
Duqu jest nietypowym koniem trojańskim. Atakuje podobnie jak Stuxnet systemy przemysłowe i może służyć do ataków ukierunkowanych. Odkryto go po raz pierwszy w październiku 2011 r. Dotychczas infekcje z jego użyciem miały miejsce w Sudanie i Iranie.
Według ekspertów prawdopodobnie służy głównie do wykradania danych; posiada moduł komunikacji z centrum zarządzania i kontroli (serwer C&C) oraz keylogger, wykrywający znaki wpisane na klawiaturze dla odgadnięcia haseł, loginów i istotnych danych.
Analitycy ds. bezpieczeństwa z firmy Kaspersky Lab twierdzą, że Duqu jest rodzajem "wirusowej rakiety", do której można przyczepiać różne moduły - "głowice" destrukcyjne. Może więc pełnić rolę zarówno konia trojańskiego poszukującego danych, jak i wirusa destrukcyjnego, przy czym można go całkowicie przekonfigurować zdalnie do nowych zadań, jeśli tylko istnieje możliwość połączenia z serwerem C&C. Jest trudny do wykrycia, korzysta bowiem z różnych, często zmienianych modułów sterowników.
Ze względu na swą uniwersalność Duqu może być bardzo groźny, stąd eksperci ds. bezpieczeństwa postanowili odtworzyć proces jego budowy i działania. Jak się jednak okazało, nie mogą zidentyfikować ani języka, w którym zostały napisane główne moduły wirusa, ani użytego do ich scalenia kompilatora, ani też typu szkieletu, na jakim oparto całe rozwiązanie wirusa -poinformował "Computerworld". Do tej pory udało się rozszyfrować jedynie bibliotekę DLL, komponent odpowiedzialny za łączność z serwerem C&C, pobierający i uruchamiający dodatkowe moduły.
Jak powiedział "Computerworld" Vitaly Kamluk, kierujący zespołem ekspertów ds. złośliwego kodu (malware) w Kaspersky Lab, Duqu jest inny od wszystkich dotychczasowych koni trojańskich; poza odmienną, nieznaną budową jest elastyczny i konfigurowalny, co stanowi wyjątek w tworzeniu złośliwego kodu. Oznacza to, że rozszyfrowanie go jest konieczne, bowiem bez tego nie będzie można zacząć budowy rozwiązań do zwalczania koni trojańskich tego typu i ich następców.
Nieznana część Duqu została, zdaniem analityków, sporządzona przez inny zespół programistów od tego, który skonstruował moduły komunikacyjne i wykonawcze trojana. "Tajemniczy język programowania na pewno nie jest językiem C++, obiektowym C, Java, Python, Ada, Lua i jednym z kilkunastu innych, które już sprawdziliśmy" - poinformował Igor Soumenkov, analityk programowania z Kaspersky Lab.
Jak dodaje Kamluk, język ten nawet ekspertom wydaje się absolutnie obcy, choć widać, że jest językiem wysokiego poziomu, rozbudowanym, z dużą liczbą procedur.
Według "The Register" programiści, którym analitycy ds. bezpieczeństwa przekazali fragmenty kodu na forach programistycznych, też mają problemy identyfikacją nieznanego języka. Kod próbowano przyporządkować do mniej znanych języków jak F,D, Iron Python, High Level Asembly, Common LISP, Forth, Erlang, Vala czy nawet używanego w amerykańskich projektach bezpieczeństwa dla instytucji wywiadu języka RoseRT.
Próby te jednak nie zakończyły się powodzeniem i - jak powiedział Kamluk - sprawdzanie, jakiego języka i kompilatorów użyto do napisania głównego modułu Duqu może potrwać "nawet kilkanaście tygodni", zaś analitycy chętnie przyjmą pomoc od specjalistów, którzy znajdą sposób na odkrycie, jak trojan został napisany i w jakim języku.
PAP - Nauka w Polsce
mmej/ agt/