Эксперты «Лаборатории Касперского» обратились к программистам для помощи в определении неизвестного фрагмета кода, расположенного внутри библиотеки с основным кодом (Payload DLL).
Обозначенный антивирусными экспертами как Фреймворк Duqu, данный фрагмент является частью Payload DLL и отвечает за взаимодействие с командным сервером (C&C) после заражения компьютера-жертвы. Проанализировав большое количество сообщений, эксперты «Лаборатории Касперского» пришли к выводу, что Фреймворк Duqu состоит из исходного кода, написанного на языке C, скомпилированного и оптимизированного с помощью Microsoft Visual Studio 2008. Кроме того, при разработке использовалось объектно-ориентированная надстройка С (ОО С). Подобный стиль программирования присущ серьезным «гражданским» программным проектам и не встречается в современном вредоносном ПО.
Причины, почему для Фреймворка Duqu была использована ОО С, а не С++, могут быть следующие:
— Проведенное нами исследование, важную роль в котором сыграли наши коллеги программисты, дает все основания полагать, что код был написан командой опытных разработчиков «старой школы». Их целью было создание легко модифицируемой и портируемой платформы для проведения кибератак. Этот код мог быть использован ранее, а затем модифицирован и применен в троянец Duqu. Подобная методика обычно используется высококлассными профессиональными разработчиками и почти никогда не встречается в обычных вредоносных программах.
Подробнее на сайте