После появления опасного трояна Duqu, естественно, все ведущие мировые специалисты по компьютерной вирусологии и информационной безопасности стали исследовать его код. Но аналитики «Лаборатории Касперского» пришли к двум неожиданным и достаточно пугающим выводам. Первое: троян Dugu, атакуя сайты, может подменять файл robots, в результате чего савм сайт может стать частью вирусной сети, оставаясь при этом свободным от вредоносного кода. И второе: вирусописатели применили новый, ранее неизвестный язык программирования
При этом в самом начале исследования было непонятно следующее: каким образом Dugu обменивается данными с вредоносными командными серверами? Так вот, исследователи сделали однозначный вывод: коммуникационный модуль Duqu есть часть его библиотеки с основным кодом (Payload DLL).
А вот в этой библиотеке "собака и порылась"! На первый взгляд Payload DLL выглядит как заурядная библиотека, скомпилированная Microsoft Visual Studio 2008. Но при внимательном и глубоком изучении специалисты увидели, что часть кода написана на неизвестном ранее языке программирования. По крайней мере, аналитики ничего подобного раньше не видели! Этот участок кода был настолько необычным, что получил имя собственное: «Фреймворк Duqu».
Пока что эксперты могут сказать об этом крайне мало, ответы абстрактны, обтекаемы и весьма расплывчаты... Так, стало известно, что язык программирования, использованный вирусописателями, является объектно ориентированным и идеально годится для разработки сетевых приложений. Конечно, может быть авторы Dugu использовали для генерации промежуточного кода свои собственные средства разработки на C или Assembler, но скорее всего, специально для данной цели разработали принципиально иной язык программирования.
Если это так, то у них получился высокоспециализированный язык, который позволяет библиотеке Payload DLL функционировать независимо от прочих модулей Duqu и обеспечивает подключение к командному серверу разными способами - в том числе через HTTP и прокси-сервера. Но гораздо хуже другое: Dugu может обрабатывать прямые HTTP-запросы от командного сервера и пересылать копии данных на сервер, доставляя при этом дополнительные вредоносные модули на прочие рабочие станции в сети.
И что из всего этого следует? Прежде всего то, что у разработчиков трояна уровень не просто высокий: он высочайший.
Напомним, что Duqu появился в октябре 2011-го и чрезвычайно похож на нашумевшего червя Stuxnet. Задача Duqu — сбор конфиденциальных данных.
Читайте также
Последние новости