Bantuan dari komunitas pemrograman telah memungkinkan analis antivirus untuk mengklasifikasikan bahasa yang tidak dikenal digunakan untuk mengembangkan komponen kunci dari Trojan Duqu. Bagian tanggung jawab untuk men-download dan menjalankan modul tambahan dalam Trojan Duqu , disebut oleh sebagian orang sebagai Stuxnet 2.0, ditulis dalam standar C + +.
Ahli Kaspersky Lab sekarang mengatakan dengan tingkat kepastian yang tinggi bahwa kerangka Duqu ditulis menggunakan ekstensi berorientasi objek kustom ke C, umumnya disebut "OO C" dan dikompilasi dengan Microsoft Visual Studio Compiler 2008 (MSVC 2008) dengan pilihan khusus untuk mengoptimalkan kode ukuran dan ekspansi inline.
Kaspersky Igor Soumenkov menulis, "Tidak peduli yang kedua varian ini benar, implikasi yang mengesankan. DLL Muatan berisi 95 Kbytes dari-event kode yang ditulis dengan OO C, sebuah bahasa yang tidak memiliki manajemen memori otomatis atau pointer aman, ".
Analisis Kaspersky sekarang menyimpulkan:
Kerangka Duqu terdiri dari kode "C" dikompilasi dengan MSVC 2008 dengan menggunakan opsi khusus "/ O1" dan "/ Ob1"Kode kemungkinan besar ditulis dengan ekstensi kustom ke C, umumnya disebut "OO C"Arsitektur-event dikembangkan sebagai bagian dari Kerangka Duqu atau yang OO ekstensi CKode C & C bisa saja kembali dari sebuah proyek perangkat lunak yang sudah ada dan diintegrasikan ke dalam Trojan Duqu
Kerangka Duqu mungkin telah dibuat oleh tim pemrograman yang berbeda, karena unik untuk Duqu, tidak seperti banyak bagian Duqu yang tampaknya akan langsung dipinjam dari Stuxnet. Diyakini bahwa para pengembang sekolah tua yang tidak percaya C + + dan itu mungkin mengapa mereka mengandalkan C. Alasan lain untuk menggunakan OO C karena pada masa lalu yang indah itu lebih portabel daripada C + +.
Mengetahui teknik digunakan untuk mengembangkan malware memungkinkan peneliti Kaspersky untuk dapat menebak lebih baik tentang siapa yang mungkin berada di balik kode tsb. Membuat Duqu adalah proyek besar, sehingga mungkin bahwa tim yang sama sekali berbeda bertanggung jawab untuk menciptakan Framework Duqu, sementara yang lain bekerja pada menciptakan driver dan eksploitasi sistem infeksi. Dalam skenario ini itu bahkan mungkin bahwa mereka yang menciptakan kerangka Duqu tidak mengetahui tujuan sebenarnya dari pekerjaan mereka.
Duqu pertama kali terdeteksi pada bulan September 2011, tapi Kaspersky Lab berkeyakinan telah melihat potongan-potongan pertama dari Duqu terkait malware dating kembali ke Agustus 2007. Perusahaan keamanan Rusia juga mencatat Duqu, seperti Stuxnet sebelum itu, sangat bertarget dan berkaitan dengan program nuklir Iran.'
0 komentar:
Posting Komentar