卡巴斯基预警:Duqu木马使用未知编程语言

  • 时间:
  • 浏览:0
  • 来源:1分6合-1分6合平台_1分6合网投平台

近日,卡巴斯基实验室经过长期跟踪和研究,发现去年引起业界地震的Duqu木马正在使用未知编程语言,并向广大用户发布预警信号。

Duqu是某种复杂化的木马,最早于2011年9月被发现,其主要功能是充当系统后门,窃取隐私,它的编写者也创造了臭名昭著的Stuxnet蠕虫。因此,根据卡巴斯基实验室数据,第一款同Duqu有关的恶意软件早在5007年8月就肯能出现。

此外,卡巴斯基实验室专家还记录到超过十多次同Duqu相关的安全事件,其中大帕累托图受害者都处在伊朗。针对哪几种受害者所属的组织以及Duqu木马所窃取的信息进行分析,也能很清楚的看一遍该木马的攻击目的主很久窃取某些应用于特定领域的工业控制系统的相关信息,此外还下发几瓶伊朗所属组织的商业关系情报。

目前,业界针对Duqu木马最大的疑团是该恶意进程池池感染计算机后,是怎样同命令控制中心(C&C)进行通讯的。Duqu木马用于同C&C通讯的模块是其有效负荷DLL的一帕累托图。对该有效负荷DLL进行全面的分析后,卡巴斯基实验室的研究者发现该DLL中处在一段特定采用某种未知编程语言编写的代码,其唯一功能很久同C&C进行通讯。卡巴斯基实验室的研究人员将你你这名 段未知代码命名为“Duqu架构”。

同Duqu木马的其它组件不同,Duqu架构并删改都有采用C++编写,也那末 使用微软的Visual C++ 5008进行编译,很肯能其编写者使用了某种结构架构,生成了媒介C代码,肯能你们都都 使用了某种删改不同的编程语言。此外,卡巴斯基实验室研究人员肯能确认该语言为面向对象式语言,因此也能自行执行其相关行为,因此适合网络应用的开发。

Duqu架构所使用的语言层厚专业化,也能让有效负荷DLL同其它Duqu模块独立,通太满种途径包括Windows HTTP、网络端口和代理服务器同C&C建立连接。还也能让有效负荷DLL直接

出理 来自C&C的HTTP服务器请求,甚至也能在网络中的其它计算机上传播辅助恶意代码,实现可控制因此隐蔽的感染手段,殃及其它计算机。

卡巴斯基实验室首席安全专家Alexander Gostev分析说:“考虑到Duqu项目的规模,很肯能Duqu架构是由一个多多删改不同的团队负责编写的,你你这名 团队同编写驱动进程池池和系统漏洞利用进程池池的团队不同。该恶意软件具有极高的可定制性,因此采用了特有的编程语言编写。很肯能很久做的目的是出理 某些结构第三方人员了解其网络间谍行为以及同命令控制中心的交互,还也能确保编写Duqu其它组件的团队同样无法了解该恶意软件的详情。”Alexander Gostev认为,你你这名 恶意软件采用了专门的编程语言,充分说明从事你你这名 项目开发的人员所掌握的技术非常卓越。因此要顺利实施开发你你这名 项目,必然时需几瓶金融和人力资源的支持。

卡巴斯基实验室呼吁广大编程社区加入到分析你你这名 恶意软件的行动中来,肯能许多人也能识别出你你这名 架构,肯能其中所使用的工具或也能生成类似代码结构的编程语言,可联系卡巴斯基实验室的专家。