Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского». По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.
Важный фрагмент кода известного трояна Duqu написан на неизвестном до сих пор языке программирования, рассказал CNews главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
Фрагмент кода, написанный на неизвестном языке программирования, получил в «Лаборатории Касперского» название «Фреймворк Duqu». Он предназначен для обмена информацией между модулем, внедряемым в операционную систему заражаемого ПК и командными серверами Duqu.
По словам эксперта, при изучении Duqu аналитиками «Лаборатории Касперского» было проверено около трех десятков языков программирования, «включая Brainfuck и Haskell». «Мы пытаемся распознать его с ноября 2011 г. Мы спросили самых серьезных специалистов-реверсеров в Microsoft, но не нашли языка, который бы создавал подобный код», — говорит Александр Гостев.
Самый знаменитый троян современности написан на неизвестном языке программирования
Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского». По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.
Важный фрагмент кода известного трояна Duqu написан на неизвестном до сих пор языке программирования, рассказал CNews главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
Фрагмент кода, написанный на неизвестном языке программирования, получил в «Лаборатории Касперского» название «Фреймворк Duqu». Он предназначен для обмена информацией между модулем, внедряемым в операционную систему заражаемого ПК и командными серверами Duqu.
По словам эксперта, при изучении Duqu аналитиками «Лаборатории Касперского» было проверено около трех десятков языков программирования, «включая Brainfuck и Haskell». «Мы пытаемся распознать его с ноября 2011 г. Мы спросили самых серьезных специалистов-реверсеров в Microsoft, но не нашли языка, который бы создавал подобный код», - говорит Александр Гостев.
Напомним, что о трояне Duqu стало известно 1 сентября 2011 г. По предположению экспертов, этот троян был создан для точечных атак и кражи информации из компьютеров промышленных объектов, а также правительственных и коммерческих структур Ирана.
Duqu создан на единой программной платформе с другим знаменитым компьютерным червем Stuxnet, который в 2011 г. поразил иранские атомные станции, а также проник в сети целого ряда других предприятий по всему миру. По мнению экспертов «Лаборатории Касперского», над обоими троянами работала одна и та же группа авторов. В отличие от Stuxnet, Duqu предназначен не столько для непосредственных вредоносных действий в зараженной системе, сколько для организации канала доставки и установки в систему дополнительных троянских модулей.
Троян Duqu применяется для точечных атак на промышленные объекты. Оценивая масштабы заражения Duqu, Александр Гостев говорит «о числе инцидентов, в каждом из которых могло пострадать разное количество ПК». Например, в одном из них было заражено около 50 компьютеров в сети одной компании. В общей сложности известно «примерно о 25 жертвах Duqu по всему миру», из которых «Лабораторией Касперского» было обнаружено 15-17 инцидентов. Скорее всего, в общей сложности их менее 100, полагает эксперт.
В «Лаборатории Касперского» предполагают, что язык программирования, использованный при написании Duqu, «был разработан с целью не только затруднить понимание сторонними лицами особенностей операции по кибершпионажу и взаимодействия с командными серверами, но и отделить этот проект от работы других групп, участвовавших в создании Duqu и отвечавших за написание дополнительных элементов вредоносной программы».
«Нет никаких сомнений, что Stuxnet и Duqu были написаны в интересах какого-то правительства, но какого конкретно, доказательств нет, - говорит Александр Гостев. - Если такого языка программирования никто не видел, это означает серьезный софтверный проект, миллионы долларов, затраченные на разработку, и дополнительный факт в подтверждение того, что за Duqu стоят правительства».
Примечательно, что 4 марта 2012 г. бывший глава Агентства национальной безопасности США Майкл Хэйден (Michael Hayden) в интервью телеканалу CBS заметил, что Stuxnet «был хорошей идеей». При этом генерал не рассказал, какое государство стоит за созданием этого трояна, преемником которого стал Duqu.
Эксперты «Лаборатория Касперского» обратились к сообществу программистов с просьбой связаться с ними всем, кому известно о средстве разработки, языке или компиляторе, который может генерировать код Duqu.
Считаю вместо фуфельной лаборатории Касперского в качестве антивируса эффективно может работать картель Лос-Зетас. Очки программистов моментально вспотеют и помешают закончить неизвестную программу.
В оригинальном сообщении имеется ввиду, что исходные тексты программы написаны на каком-то языке, неизвестном создателям антивируса. Видимо, им для каких-то своих нужд желательно знать язык, с которого производится компиляция в машинные коды.
Да понятно, но смешно. Исходники есть, а бинарно-заражённого нет. А то, обычно, сидишь в этой ИДе, записываешь в блокнотик всякое и мечатаешь об исходниках. =)
Сравнивая сигнатуры, характерные паттерны кодогенерации и т.д.
У меня такое ощущение, что специалисты подошли к делу крайне несистемно: нет даже упоминаний, под какой процессор-то генерировался код (386, 486, Pentium и т.д.) - это некоторым образом сузит временные рамки инструмента. Нет таблицы проверенных компиляторов и языков. Нет таблицы кодогенераторов и языков, которые подходят под задачу - понятно, что бизнес-логику никто сейчас на ассемблере или на голом С писать не будет.
> [В срочном порядке удаляет всё home porno c компьютера]
Погоди, не удаляй. Вот что удалось нарыть за полминуты гугления:
> Duqu – троянская программа, которая используется для целенаправленных атак на крупные компании и промышленные предприятия. Свое название вредоносная программа получила благодаря расширению создаваемых им файлов, ~DQ . Впервые троян был зафиксирован в компьютерных системах европейских предприятий 14 октября 2011 года.
> Троян Duqu похищает касающуюся ИТ-инфраструктуры предприятия информацию, которая в дальнейшем позволит злоумышленникам осуществлять атаки с целью установления контроля над различными промышленными системами.
Так что коллекциям home porno этот Duqu не угрожает! Можно вздохнуть с облегчением.
> И там, в комментах, вроде выяснили, что это LabView/LabWindows или что-то аналогичное.
Там ещё сорвали покровы и вывели всех на чистую воду!!!
Привет привет всем!
Зовут меня Маша, Лукьянова, я вам вот что скажу.
Вся эта череда статей насчет вируса Duqu напоминает хорошо заезженный ФСБ-щный спектакль. Цель спектакля, по моему мнению, не узнать подробности насчет Duqu\Stuxnet, а выявить сетевых авторов, которые располагают какими-то знаниями насчет подобных вирусных технологий, открыть на них ДОУ и поставить их на контроль.
Зачем это нужно ФСБ?
Потому что программисты тесно общаются между собой, а даже у нас в Москве есть группы программистов, которые пишут по заказу ФСБ подобные вирусные программы. Некоторые из них прицельно встраиваются на личные страницы бесплатных сетевых вирусов типа Mail.ru или Vkontakte, другие реализуются путем подмены целевых сайтов (например, в режиме эмуляции сервера какой-нибудь газеты).
А ФСБ очень не любит, когда, говоря языком их агентов "кто-то палит конторку". Поэтому я бы на месте всех авторов выше приведенных комментариев не писала бы г-ну Гостеву и иже с ним НИЧЕГО.
Не поддерживайте тех, кто не против заниматься нечестными делами.
интересно , откуда касперы заполучили исходник вируса , который написали секретные правительства за несколько миллионов долларов , чтоб засадить троянов на компы под виндосом . можно было просто админу 500 баксов дать , он бы всё перекатал на лазерный диск и вытащил за проходную , нафига писать за миллион долларов язык для обработки пхп скриптов под виндовс секретному правительству ? заголовок статьи можно написать следующий - "что курят в лаборатории касперского ?"
Какой же компьютерно-безграмотный журналист. Сетевого червя обозвал трояном и тут же вирусом. Про миллионные инвестиции и неизвестный язык то же смешно, вроде написать свой язык программирования входит в курс обучения программистов.
> Да понятно, но смешно. Исходники есть, а бинарно-заражённого нет. А то, обычно, сидишь в этой ИДе, записываешь в блокнотик всякое и мечатаешь об исходниках. =)
Ну вот, про иду знаешь, а код сгенеренный дельфей от вижуал ц отличить не можешь? В заметке про то, что код сгенерен неизвестной касперышам тулзой, что и интересно.
> Вся эта череда статей насчет вируса Duqu напоминает хорошо заезженный ФСБ-щный спектакль. Цель спектакля, по моему мнению, не узнать подробности насчет Duqu\Stuxnet, а выявить сетевых авторов, которые располагают какими-то знаниями насчет подобных вирусных технологий, открыть на них ДОУ и поставить их на контроль.
Евгений Касперский в Школе злословия. Рассказывает про вирусы, интернет паспорта и.т.д. Не хило огорчил Смирнову, тем что по его мнению нужно ввести интернет паспорта. Ей всё кровавая гебня мерещиться. Интересная программа.
> Хотелось бы в общих чертах понять, что на самом деле говорили журналисту специалисты.
Гипотетический разговор:
Журналист: - У вас чего-нибудь интересное было в последнее время?
ЛК: - Да, блин, какой-то умелец выпустил вирус, здорово оптимизирован, эвристики не берут, так как хрен знает на чем писан, но сложный, значит не вручную делали, а с инструментами, специально под вирусы заточенные...
Журналист: - И чё?
ЛК: - А то, инвестиции в вирусы поперли... если раньше на коленке делали, с ошибками и инструментами, которое по мирные программы заточены, то теперь под создание вирусов спец.библиотеки и удобные языки создают.
Журналист: - Брешите поди, чтобы ваши антивирусы покупали?
ЛК: - Да не, мы бабло стржем с серверов, чисто интересно стало, даже в Microsoft спросили, не их ли рук: постоянно какую-то хрень новую изобретают...
Жунралист: - Только Microsoft?
ЛK: - Да нет, вот опять все в функциональные языки ударились, популярные проверили - не они, какая-то самопальная хрень... сделано дорого.
Или лыжи не катят или я...
А на ассемблере уже никто не пишет? Всю жизнь думал, что именно на нем вирусы и пишутся. Сам писал (перехватчики api). Хоть это были и не совсем вирусы, и деструктивных действий не совершали, но многие антивирусы ругались.
Помнится в институте нам давали писать компиляторы, что генерируют код, который трудно отлаживать. Например, модифицировали порядок выполнения команд псевдо-случайным образом (instruction pointer сажали на ГПК) или "расшифровывали-зашифровывали обратно" код по мере выполнения. В дебагере это смотрелось весело.
На работе такими радостями уже не занимались, писали исключительно мирные программы.
> Мы спросили самых серьезных специалистов-реверсеров в Microsoft, [как только мы показали им болгарку и дрель - они сразу во всем признались», - говорит сотрудник антивирусной лаборатории Лос-Зетас]
Неужели кто-то не поленился написать руками на ассемблере?
Всегда, со времён тотально перехода на винды, подозревал антивирусную индустрию в промышленном онанизме. Сами же пишут, сами же себя пиарят, сами же потом антивирусы сочиняют.
Статья -- бред сивой кобылы ( The bread of the seave cable in the moon night !-) ).
Камрад, да за что с меня то покровы срывать? Машинный код то, он разный у дельфей или у сей? push eax сгенеренный дельфями сильно отличается от такого же, но выполненного на vm Python? Да компиляторов неизвестных пруд пруди. Минимум два моих знакомых писали свой язык (каждый свой). Оба довели дело до конца.
Речь идет о том, что на создание Duqu затрачены такие ресурсы, что их хватило на разработку компилятора нового языка.
Этот компилятор закомпилирует новый язык в exe-шник.
> Видимо, им для каких-то своих нужд желательно знать язык, с которого производится компиляция в машинные коды.
Интересно, как они по скомпилированному коду определили, что язык программирования -- какой-то новый?
Если они и смогли его дизассемблировать -- то получили ассемблерные команды.
Как по ним можно судить о языке высокого уровня, на котором этот код был написан?
> Интересно, как они по скомпилированному коду определили, что язык программирования -- какой-то новый?
> Если они и смогли его дизассемблировать -- то получили ассемблерные команды.
> Как по ним можно судить о языке высокого уровня, на котором этот код был написан?
[double facepalm] Граждане, зачем вы лезете обсуждать тему, в которой разбираетесь как я в балете?!
Для тех кому интересно. Вот здесь обсуждение более близких к теме людей.
>Kaspersky: Duqu Trojan uses 'unknown programming language' (zdnet.com)
http://news.ycombinator.com/item?id=3682280
> есть группы программистов, которые пишут по заказу ФСБ подобные вирусные программы. Некоторые из них прицельно встраиваются на личные страницы бесплатных сетевых вирусов типа Mail.ru или Vkontakte,
Ага! Так вот кто оказывается винлокеры с порнобаннерами ваяет! Спасибо за службу, парни! Благодаря вам без пива не останусь!!!
> >
> Камрад, да за что с меня то покровы срывать? Машинный код то, он разный у дельфей или у сей? push eax сгенеренный дельфями сильно отличается от такого же, но выполненного на vm Python? Да компиляторов неизвестных пруд пруди. Минимум два моих знакомых писали свой язык (каждый свой). Оба довели дело до конца.
Разные компиляторы по разному генерируют код.
То-есть если один и тот же исходник будет скомпилирован разными компиляторами
получится 2 абсолютно разных файла. Соответственно если файл, скомпилирован в Delphi
это мгновенно определяется в плоть до версии пакета , с C\C++ немного посложней , там выбор компиляторов больше.А вот если человек на ассемблере писал определить компилятор невозможно, т.к. почерк ни на что походить не будет.
Прочти #54 И ты, кстати, недооцениваешь энтузиазм.
Учитывая возможности современных компиляторов компиляторов - создать язык (грамматику точно) опытному программисту можно за день. Мне удалось за две недели, я за ради интереса знакомился с COCO/R, и это был неполноценный язык, а лишь описание данных.
> http://www.youtube.com/watch?v=YLuIJcgB2Go >
> Евгений Касперский в Школе злословия. Рассказывает про вирусы, интернет паспорта и.т.д. Не хило огорчил Смирнову, тем что по его мнению нужно ввести интернет паспорта. Ей всё кровавая гебня мерещиться. Интересная программа.
Написать не написать, но то что курс по компиляторам есть, да и книжек на прилавках богато - факт. И языки эти при каждом серьезном техническом ПТУ создаются постоянно.
Какой-то новый - это значит не мейнстрим и не околомейнстрим. Языков этих - 100500 миллионов, ясен хер, что можно забабахать что-то выражающее полезное для вирей средствами языка, а не стояниемна руках.
> Учитывая возможности современных компиляторов компиляторов - создать язык (грамматику точно) опытному программисту можно за день.
Ну это же ещё и отладить нужно. В общем, мне кажется, что человек вроде Федотова Н.Н., который смог бы систематизировать поиски, им бы давным давно всё нашёл.
> > Опа, вирусы стали писаться на неизвестных процессору командах! Просто монстры!!
Может они на фени написаны? Так называемая fenya. Вирус такой обращается к процессору: - А ну чего такой холодный? Чего в ядрах держишь? А если посмотреть?
> Евгений Касперский в Школе злословия. Рассказывает про вирусы, интернет паспорта и.т.д. Не хило огорчил Смирнову, тем что по его мнению нужно ввести интернет паспорта. Ей всё кровавая гебня мерещиться. Интересная программа.
Какая же Авдотья отмороженная. По блевотности догоняет Николая Карловича.
Новости
VIP
