Interested Article - Duqu
- 2021-06-05
- 1
Duqu — компьютерный червь , обнаруженный 1 сентября 2011 года. Некоторые исследователи полагают, что он связан с червём Stuxnet . Червь получил имя Duqu из-за префикса «~DQ», который использовался во всех именах файлов, создаваемых им .
Лаборатория криптографии и системной безопасности Будапештского университета технологии и экономики в Венгрии выпустила 60-страничный доклад, в котором анализировался данный червь . В ходе проведённого расследования удалось выяснить, что распространение данной вредоносной программы происходило через электронную почту. Заражение системы происходит посредством свежей уязвимости в ядре Windows, допускающей выполнение вредоносного кода и определяемой как CVE-2011-3402 . После заражения системы и установления связи с сервером происходила загрузка и установка дополнительного модуля, предназначенного для сбора сведений о системе, поиска файлов, снятия скриншотов , перехвата паролей и ряда других функций .
Symantec считает, что создатели Duqu или создали Stuxnet, или имели доступ к исходному коду последнего, и их целью был сбор информации для следующей версии Stuxnet .
Язык программирования
Немалая часть Duqu — объектно-ориентированный фреймворк , написанный на неизвестном языке . Вирусные лаборатории перепробовали даже такие экзотические языки, как Lua , Google Go и AngelScript , но потерпели неудачу, и им пришлось попросить помощи у сообщества. В конце концов разгадка нашлась: это оказался чистый Си , скомпилированный Microsoft Visual C++ с необычными настройками оптимизации .
Код был написан с применением объектно-ориентированного подхода , но на языке Си, а не Си++. Предполагается, что выбор языка Си был сделан автором-программистом старой закалки, который переходил с ассемблеров на Си, и которому Си++ не понравился. Применение Си в сочетании с ОО-подходом встречается в коммерческих программных проектах (например, движок Doom ), но несвойственно для вредоносных программ и выделяет Duqu как необычную разработку .
См. также
Примечания
- Mikko. (англ.) . F-Secure (18 сентября 2011). Дата обращения: 20 марта 2012. Архивировано из 12 сентября 2012 года.
- . Laboratory of Cryptography of Systems Security (CrySyS) (21 сентября 2011). Дата обращения: 25 сентября 2011. Архивировано из 3 октября 2012 года.
- (англ.) . Laboratory of Cryptography of Systems Security (CrySyS) (14 ноября 2011). Архивировано из 12 сентября 2012 года.
- (англ.) . National Vulnerability Database (NVD). Дата обращения: 20 марта 2012. 9 июня 2012 года.
- Александр Гостев. . SecureList (11 ноября 2011). Дата обращения: 20 марта 2012. Архивировано из 29 сентября 2020 года.
- от 9 августа 2014 на Wayback Machine .
- Игорь Суменков. . SecureList (7 марта 2012). Дата обращения: 20 марта 2012. Архивировано из 25 февраля 2018 года.
- ↑ Игорь Суменков. . SecureList (19 марта 2012). Дата обращения: 20 марта 2012. Архивировано из 14 августа 2020 года.
Ссылки
- (недоступная ссылка)
- 2021-06-05
- 1