Эксперты заявляют, что Duqu был создан на одной из объектно-ориентированных надстроек C и скомпилирован с помощью MSVC.
Эксперт «Лаборатории Касперского» Игорь Суменков сообщил о том, что сотрудникам ЛК удалось определить язык, на котором написан Duqu, один из самых известных на сегодняшний день вирусов. Этим языком была названа объектно-ориентированная надстройка C, основанная на макросах или стороннем препроцессоре. Еще одним вероятным способом создания Duqu называется чистый C c применением объектно-ориентированных методов, но, с учетом количества однотипного кода в конструкторах и других функциях, предыдущий вариант считается более вероятным.
Исследователям также удалось определить используемый при создании вируса компилятор, которым оказался Microsoft Visual Studio (MSVC). В своей публикации Суменков благодарит участников интернет сообщества, которые помогли в определении, как языка программирования, так и его компилятора.
Суменков также рассуждает о том, что в настоящее время существует несколько объектно-ориентированных платформ С с открытым исходным кодом. Наиболее похожий код эксперты ЛК воспроизвели с помощью Simple Object Orientation for C, однако когда был создан его проект, Duqu уже применялся для осуществления целевых атак.
В свете раскрывшейся информации можно сделать ряд выводов. Первый, и самый основной, вывод заключается в том, что авторами Duqu являются программисты с многолетним опытом, которые, вероятнее всего, в свое время начинали с ассемблера, а потом перешли на C. После появления C++, многие от него отказались по причинам неявного управления памятью и запутанных конструкций, вызывавших неявное выполнение кода.
Сотрудник ЛК также отмечает, что метод разработки, используемый для создания Duqu, чаще всего встречается в серьезных программных проектах, и почти никогда во вредоносных программах.
Отметим, что впервые о существовании вируса Duqu стало широко известно осенью прошлого года. В то время ряд европейских компаний, часть из которых занимается промышленным производством, обнаружили на своих системах вирусные программы, имеющие сходство с червем Stuxnet, поразившим предприятия Ирана. Для распространения вируса злоумышленники широко используют уязвимость 0-дня. Расследования крупных антивирусных компаний, таких как Symantec и ЛК показали, что вирус состоит из двух модулей, один из которых являет собой компонент дроппера, а второй может нести различный функционал.
С публикацией эксперта ЛК можно ознакомиться здесь.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках