卡巴斯基揭秘Duqu木马疑团

李思瑶

      从Duqu木马出现以来，卡巴斯基实验室就一直严密监控该木马，帮助用户解决其带来的各种问题。不久前，卡巴斯基实验室呼吁编程社区帮助识别Duqu木马中恶意有效负荷DLL文件中包含的一段未知代码，近日卡巴斯基实验室揭开了Duqu木马的疑团。



      Duqu是继Stuxnet蠕虫后最为恶性的一种可窃取信息的蠕虫，大多数Duqu出现在工控系统中。该木马涉及通信、服务器控制系统并有能力下载更多的加载模块且能够感染机器上的重要组件。
卡巴斯基表示Duqu木马部分代码可能是用一种全新编程语言开发的既不是C++，也不是Objective C，Java，Python，Ada，Lua等已知语言，只能辨认出是面向对象语言。

      据了解，其中的未知代码段被称作“Duqu架构”，是该恶意软件有效负荷DLL文件的一部分，其主要功能是同命令控制中心（C&C）服务器进行交互。在收到大量来自编程社区的反馈后，卡巴斯基实验室的专家几乎可以肯定，Duqu架构包含由Microsoft Visual Studio 2008编译的“C”源代码，并且对代码体积和代码嵌入进行了优化。源代码还采用了定制的扩展名，便于利用C进行面向对象的编译，通常称作“OO C”。这类内部编程方法非常复杂，经常应用于内部软件项目中。在当代恶意软件中并不常见。

      虽然很难解释为什么网络罪犯会利用OO C编程，而没有采用C++编写Duqu架构。推测其原因主要如下：

      一、对源代码更好的控制：当C++最早发布时，很多资历较老的编程人员并没有立刻就采用这一语言。因为他们对C++的内存分配以及其它编程特性不信任，可能导致代码无法直接执行。而OO C架构则更可靠一些，产生不可预测的行为几率较低。

       二、极高的可移植性：大约10-12年前，C++还没有完全标准化。所以，当时的C++代码可能无法同所有的编译程序互通。使用C的话，编程者所写程序的可移植性大大加强，因为C能够面向当时所有的平台，而不受C++各种限制的影响。

      上述两个原因表明，Duqu架构的代码是由经验丰富的‘老派’编程团队所开发的。目的是创造一个可定制的架构，从而确保其成为具有高度灵活性和可扩展性的攻击平台。这些源代码可能之前用于其他网络行动中，之后才被重新定制，集成到Duqu木马中，”卡巴斯基实验室的恶意软件专家Igor Soumenkov解释说，“但是，有一点我们可以确认。即该恶意软件所使用的这些技术一般只存在于精英软件开发者中，很少应用于当今的恶意软件中。”

dongwenqi

只个在百度上看到了，我还是信任卡巴斯基

sanhu35

貌似消息已经很早就出来了

李思瑶

sanhu35 发表于 2012-3-31 14:53
貌似消息已经很早就出来了

亲这是解密，早看到的是发现未知的Duqu，是无法判别的未知代码，现在已经分析出来了

剑步如飞

嗯嗯，给力。
瑶瑶很勤快啊~