Aelita1981.ru

Пуншевый портал aelita1981.ru

Duqu
Перейти к: навигация, поиск

Duqu — компьютерный червь, обнаруженный 1 сентября 2011 года. Некоторые исследователи полагают, что он связан с червем Stuxnet[1]. Червь получил имя Duqu из-за префикса «~DQ», который использовался во всех именах файлов, создаваемых им[2].

Лаборатория криптографии и системной безопасности Будапештского университета технологии и экономики в Венгрии выпустила 60-страничный доклад, в котором анализировался данный червь[3]. В ходе проведённого расследования удалось выяснить, что распространение данной вредоносной программы происходило через электронную почту. Инфицирование системы происходит посредством свежей уязвимости в ядре Windows, допускающей выполнение вредоносного кода и определяемой как CVE-2011-3402[4]. После заражения системы и установления связи с сервером происходила загрузка и установка дополнительного модуля, предназначенного для сбора информации о системе, поиска файлов, снятия скриншотов, перехвата паролей и ряда других функций[5].

Симантек считает, что создатели Duqu или создали Stuxnet, имели доступ к исходному тексту последнего, и их целью был сбор информации для следующей версии Stuxnet[6].

Содержание

Язык программирования

Немалая часть Duqu — объектно-ориентированный фреймворк, написанный на неизвестном языке[7]. Вирусные лаборатории перепробовали даже такие экзотические языки, как Lua, Google Go и AngelScript, но потерпели неудачу и им пришлось попросить помощи у сообщества. В конце концов разгадка нашлась: это оказался чистый Си, скомпилированный Microsoft Visual C++ с необычными настройками оптимизации[8].

Код был написан с применением объектно-ориентированного подхода, но на языке C, а не C++. Предполагается, что выбор языка Си был сделан автором-программистом старой закалки, который переходил с ассемблеров на Си, и которому C++ не понравился. Применение C в сочетании с ОО подходом встречается в коммерческих программных проектах (например, движок Doom), но нетипично для вредоносных программ и выделяет Duqu как необычную разработку[8].

См. также

Примечания

  1. Duqu – Stuxnet 2  (англ.). Архивировано из первоисточника 13 сентября 2012. Проверено 20 марта 2012.
  2. Statement on Duqu's initial analysis. Laboratory of Cryptography of Systems Security (CrySyS) (21 сентября 2011). Архивировано из первоисточника 4 октября 2012. Проверено 25 сентября 2011.
  3. Duqu: A Stuxnet-like malware found in the wild, technical report  (англ.). Laboratory of Cryptography of Systems Security (CrySyS) (14 November 2011). Архивировано из первоисточника 13 сентября 2012.
  4. CVE-2011-3402  (англ.). National Vulnerability Database (NVD). Проверено 20 марта 2012.
  5. Тайна Duqu: Привет, “Mr. B. Jason” и “Dexter”  (рус.). Архивировано из первоисточника 13 сентября 2012. Проверено 20 марта 2012.
  6. W32.Duqu. The precursor to the next Stuxnet.
  7. Загадка фреймворка Duqu  (рус.). Архивировано из первоисточника 13 сентября 2012. Проверено 20 марта 2012.
  8. ↑ Фреймворк Duqu: задача решена  (рус.). Архивировано из первоисточника 13 сентября 2012. Проверено 20 марта 2012.

Ссылки

  • Иранские программисты смогли победить «младшего брата Stuxnet»
  • Иран стал жертвой вируса Duqu
  • Symantec: вирус Duqu создан для атаки на определённые предприятия


Duqu.