Duqu

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Duqu — компьютерный червь, обнаруженный 1 сентября 2011 года. Некоторые исследователи полагают, что он связан с червем Stuxnet[1]. Червь получил имя Duqu из-за префикса «~DQ», который использовался во всех именах файлов, создаваемых им[2].

Лаборатория криптографии и системной безопасности Будапештского университета технологии и экономики в Венгрии выпустила 60-страничный доклад, в котором анализировался данный червь[3]. В ходе проведённого расследования удалось выяснить, что распространение данной вредоносной программы происходило через электронную почту. Инфицирование системы происходит посредством свежей уязвимости в ядре Windows, допускающей выполнение вредоносного кода и определяемой как CVE-2011-3402[4]. После заражения системы и установления связи с сервером происходила загрузка и установка дополнительного модуля, предназначенного для сбора информации о системе, поиска файлов, снятия скриншотов, перехвата паролей и ряда других функций[5].

Симантек считает, что создатели Duqu или создали Stuxnet, имели доступ к исходному тексту последнего, и их целью был сбор информации для следующей версии Stuxnet[6].

Язык программирования[править | править исходный текст]

Немалая часть Duqu — объектно-ориентированный фреймворк, написанный на неизвестном языке[7]. Вирусные лаборатории перепробовали даже такие экзотические языки, как Lua, Google Go и AngelScript, но потерпели неудачу, и им пришлось попросить помощи у сообщества. В конце концов разгадка нашлась: это оказался чистый Си, скомпилированный Microsoft Visual C++ с необычными настройками оптимизации[8].

Код был написан с применением объектно-ориентированного подхода, но на языке C, а не C++. Предполагается, что выбор языка Си был сделан автором-программистом старой закалки, который переходил с ассемблеров на Си, и которому C++ не понравился. Применение C в сочетании с ОО подходом встречается в коммерческих программных проектах (например, движок Doom), но нетипично для вредоносных программ и выделяет Duqu как необычную разработку[8].

См. также[править | править исходный текст]

Примечания[править | править исходный текст]

  1. Mikko. Duqu – Stuxnet 2 (англ.). F-Secure (18 September 2011). Проверено 20 марта 2012. Архивировано из первоисточника 13 сентября 2012.
  2. Statement on Duqu's initial analysis. Laboratory of Cryptography of Systems Security (CrySyS) (21 сентября 2011). Проверено 25 сентября 2011. Архивировано из первоисточника 4 октября 2012.
  3. Duqu: A Stuxnet-like malware found in the wild, technical report (англ.). Laboratory of Cryptography of Systems Security (CrySyS) (14 November 2011). Архивировано из первоисточника 13 сентября 2012.
  4. CVE-2011-3402 (англ.). National Vulnerability Database (NVD). Проверено 20 марта 2012.
  5. Александр Гостев. Тайна Duqu: Привет, “Mr. B. Jason” и “Dexter” (рус.). SecureList (11 ноября 2011). Проверено 20 марта 2012. Архивировано из первоисточника 13 сентября 2012.
  6. W32.Duqu. The precursor to the next Stuxnet.
  7. Игорь Суменков. Загадка фреймворка Duqu (рус.). SecureList (7 марта 2012). Проверено 20 марта 2012. Архивировано из первоисточника 13 сентября 2012.
  8. 1 2 Игорь Суменков. Фреймворк Duqu: задача решена (рус.). SecureList (19 марта 2012). Проверено 20 марта 2012. Архивировано из первоисточника 13 сентября 2012.

Ссылки[править | править исходный текст]