Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Symantec говорит об обнаружении нового варианта Duqu

Symantec говорит об обнаружении нового варианта Duqu

Symantec говорит об обнаружении нового варианта Duqu


26.03.2012



Антивирусная компания Symantec сообщила о том, что ее специалистами был обнаружен модифицированный вид нашумевшего вредоносного кода Duqu. Напомним, что Duqu, как и его не менее нашумевший собрат Stuxnet, ориентирован на атаку промышленных объектов. В Symantec говорят, что обнаруженный ими вариант Duqu имеет несколько измененных модулей, однако в руках Symantec оказался только один из модулей Duqu - файл загрузчика, ответственный за закачку остальных частей вредоносного кода на компьютер-жертву.

В Symantec говорят, что пока не завершили исследование обновленного варианта, но уже сейчас говорят, что в новой версии был обновлен механизм шифрования, причем дата компиляции загрузчика также новая - 23 февраля. Также в компании говорят, что новый Duqu иначе работает с файловой системой на компьютере-жертве.

Согласно сообщению в блоге антивирусной компании, их специалисты пока не завершили исследование полученного кода и в ближайшие дни предоставят новые данные.

Напомним, что недавно "Лаборатория Касперского" пришла к выводу, что сам фреймворк Duqu состоит из исходного кода, написанного на языке C, скомпилированного и оптимизированного с помощью Microsoft Visual Studio 2008. Кроме того, при разработке использовалось объектно-ориентированная надстройка С (ОО С). Подобный стиль программирования присущ серьезным "гражданским" программным проектам и не встречается в современном вредоносном ПО.

Точный ответ на вопрос, почему для фреймворка Duqu использовали OO C, а не С++ пока не найден. Однако, по мнению экспертов "Лаборатории Касперского" наиболее вероятными причинами могут являться следующие:

  • Больший контроль над кодом. Когда появился язык С++, многие программисты "старой школы" отказались от его использования из-за неявного управления памятью и сложных конструкций, вызывавших неявное исполнение кода. ОО С обеспечивает наличие более стабильного фреймворка с меньшей вероятностью непредсказуемого поведения.

  • Высокая совместимость. Многие годы не существовало общего для всех компиляторов стандарта С++, из-за чего могли возникать проблемы совместимости с компиляторами различных производителей. Использование языка С позволяет писать код под любую существующую платформу и не имеет ограничений С++.

"Проведенное нами исследование, важную роль в котором сыграли наши коллеги программисты, дает все основания полагать, что код был написан командой опытных разработчиков "старой школы". Их целью было создание легко модифицируемой и портируемой платформы для проведения кибератак. Этот код мог быть использован ранее, а затем модифицирован и применен в троянце Duqu, – уверен Игорь Суменков, антивирусный эксперт "Лаборатории Касперского". – Подобная методика обычно используется высококлассными профессиональными разработчиками и почти никогда не встречается в обычных вредоносных программах".

Источник:
CyberSecurity.ru

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"