Experts van Kaspersky Lab identificeren mysterieuze taal in de Duqu Trojan dankzij hulp

Door: Kaspersky Lab  20-03-2012
Trefwoorden: Virus, Anti Virus, Kaspersky Lab

Moskou/Utrecht, 19 maart 2012 – Kaspersky Lab, toonaangevende ontwikkelaar van IT-beveiligingsoplossingen, deed recentelijk een beroep op de gemeenschap van programmeurs voor hulp bij het oplossen van een van de grootste mysteries rond het Trojaanse paard Duqu. Het ging om de aanwezigheid van een onbekend codefragment binnen een gedeelte van de payload-DLL van dit kwaadaardige programma. Het gedeelte met onbekende code, dat het “Duqu Framework” wordt genoemd, vormde een onderdeel van de payload-DLL die verantwoordelijk was voor de communicatie met de Command & Control (C&C)-servers nadat het Trojaanse paard de computer van een slachtoffer had geïnfecteerd.  

Na de ontvangst van een overstelpende hoeveelheid waardevolle feedback van programmeurs waren de experts van Kaspersky Lab in staat om met een hoge mate van zekerheid vast te stellen dat het Duqu Framework uit “C”-broncode bestaat. Deze code is gecompileerd met Microsoft Visual Studio 2008 en bevat speciale opties voor het optimaliseren van de codeomvang en inline uitbreiding. De code werd daarnaast geschreven met een aangepaste extensie die in de meeste gevallen “OO C” wordt genoemd en het mogelijk maakt om objectgeoriënteerd programmeren te combineren met C.  

Dit type intern ontwikkelde programmatuur is uiterst geavanceerd en wordt normaliter aangetroffen binnen complexe ‘civiele’ softwareprojecten in plaats van moderne malware.  

Hoewel er geen eenvoudige verklaring is voor het feit dat het Duqu Framework gebruikmaakte van OO in plaats van C++, zijn er twee mogelijke redenen aan te wijzen:  
·         Meer controle over de code: Toen C++ werd gepubliceerd, besloten veel ‘old school’ programmeurs om deze taal te vermijden vanwege twijfels over de geheugentoewijzing en andere obscure functies die ervoor zorgen dat code op indirecte wijze wordt uitgevoerd. OO C zou een betrouwbaarder framework bieden met minder kans op dergelijk onverwacht gedrag.  

·         Hoge overdraagbaarheid: Zo’n 10 tot 12 jaar geleden was C++ nog niet volledig gestandaardiseerd, waardoor de kans bestond dat de code van deze taal niet compatibel was met elke compiler. Het gebruik van C biedt programmeurs een uiterst hoge mate van overdraagbaarheid, omdat deze taal op elk gewenst moment ondersteuning biedt voor elk bestaand platform, zonder gebukt te gaan onder de beperkingen van C++.

“Deze twee verklaringen doen vermoeden dat de code is geschreven door een team van ervaren ‘old school’ ontwikkelaars die een aangepast framework wilden creëren ter ondersteuning van een uiterst flexibel en aanpasbaar aanvalsplatform. De kans bestaat dat deze code voor eerdere cyberaanvallen is gebruikt en vervolgens is aangepast voor integratie in de Duqu Trojan,” aldus malware-expert Igor Soumenkov. “Maar één ding is zeker: deze technieken worden normaliter gebruikt door softwareontwikkelaars die tot de elite behoren, en worden vrijwel nooit aangetroffen in de malware die momenteel in omloop is”.  

Kaspersky Lab wil graag iedereen bedanken die heeft geholpen bij het identificeren van deze onbekende code.  

Een volledige analyse door Igor Soumenkov is te vinden op Securelist. De analyse omvat technische informatie over het framework, identificatiemethoden en de inzichtrijke feedback feedback van programmeurs waarmee Kaspersky Lab in staat was om het mysterie rond de Duqu-code te ontrafelen.  

Over Kaspersky
Lab Kaspersky Lab, opgericht in 1997, is een internationaal softwarebedrijf dat geavanceerde oplossingen levert voor de beveiliging van bedrijfs- en thuisnetwerken tegen internetgerelateerde risico’s als virussen, spam, hackers, crimeware, malware en spyware. De door Kaspersky ontwikkelde technologie wordt wereldwijd toegepast in producten en diensten van vooraanstaande IT-securitybedrijven.  

Het hoofdkantoor van Kaspersky Lab is gevestigd in Moskou, Rusland. Daarnaast heeft het bedrijf regionale kantoren in onder andere de Benelux, Duitsland, Engeland, Frankrijk, Polen, Roemenië, China, Japan, Zuid-Korea en de Verenigde Staten plus een wereldwijd netwerk van ruim vijfhonderd partners. Voor meer informatie zie www.kaspersky.com/nl of www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.

Trefwoorden: Anti Virus, Kaspersky Lab, Virus,

Andere producten en diensten van Kaspersky Lab

30-07-2013

Eropuit met je ‘mobiele vrienden’

De juiste voorbereiding voor een dagje uit met het hele hightechgezin Utrecht, 30 juli 2013 – De kinderen hebben vakantie,


04-06-2013

Kaspersky Lab onthult ‘Operatie NetTraveler’, een wereldwijde cyberspionagecampagne gericht tegen ov

  Kwaadwillende NetTraveler Toolkit besmet 350 belangrijke slachtoffers voor gegevensdiefstal en –spionage   Utrecht, 4 juni 2013 – Vandaag heeft Kaspersky


22-05-2013

Kaspersky PURE 3.0 Total Security levert ultieme beveiliging voor alles wat je bewaart & doet op pc

  Bekroonde technologie beschermt je identiteit, wachtwoorden, financiële en persoonlijke gegevens   Utrecht, 22 mei 2013 – Pc's zijn uitgegroeid tot


14-05-2013

Kritische gegevens steeds vaker opgeslagen op smartphones

  Onderzoek Kaspersky Lab onthult: Bijna een derde van het Nederlandse MKB denkt dat gegevensverlies via smartphones aanzienlijke schade zal


17-04-2013

Kaspersky Lab presenteert ’s werelds eerste antivirusoplossing voor UEFI

Nieuwe oplossing voorkomt de uitvoering van ‘stealth malware’ op computers met UEFI   Utrecht, 17 april 2013 – Kaspersky Lab


17-04-2013

60% Nederlandse IT-managers heeft geen goed beeld van opgeslagen bedrijfsgegevens op privé apparaten

  Volgens onderzoek door Kaspersky Lab hebben MKB-bedrijven bescherming van intellectueel eigendom niet op orde   Utrecht, 17 april 2013 –


11-04-2013

Kaspersky Lab analyseert actieve wereldwijde cyberspionage-campagne gericht op online gaming-bedrijf

  Cybercriminele organisatie ‘Winnti’ compromitteert systemen van gaming-bedrijven, steelt intellectueel eigendom en digitale certificaten voor malafide praktijken   Utrecht, 11 april


15-03-2013

Nederlandse werknemers gemakzuchtig met rapporteren kwijtgeraakte apparatuur

  Onderzoek Kaspersky Lab onthult: Bedrijven worden te laat geïnformeerd over mogelijk lekken van bedrijfsgegevens   Utrecht, 15 maart 2013 –


14-03-2013

Kaspersky Lab presenteert nieuwe zakelijke beveiligingsoplossing tijdens Infosecurity.be

  Gratis snelle security check voor bezoekers     Utrecht, 14 maart 2013 – Op 20 en 21 maart aanstaande demonstreert Kaspersky


27-02-2013

Kaspersky Lab identificeert 'MiniDuke', een nieuw kwaadaardig spionageprogramma gericht op overheids

  Ontwikkelaars combineren geavanceerde "old school" technieken met nieuwe, onlangs ontdekte exploits in Adobe Reader om geopolitieke gegevens te verzamelen


13-02-2013

Kaspersky Lab Experts identificeren en rapporteren nieuwste Zero-day beveiligingslek in Adobe Flash

  Utrecht, 13 februari 2013 – Experts van Kaspersky Lab hebben onlangs een belangrijk zero-day beveiligingslek ontdekt in Adobe Flash


05-02-2013

Cyberpesten voor veel jongeren groot probleem volgens onderzoek Europese Unie

Tips en technologie om er iets aan te doen Utrecht, 5 februari 2013 - Werden ruzies vroeger op het schoolplein


31-01-2013

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform

Kaspersky Endpoint Security for Business biedt geavanceerd beveiligingsplatform om complexe en consumerized IT-systemen beter te helpen beveiligen Nieuwe editie voorzien


16-01-2013

Economische instabiliteit en cyberbedreigingen: de twee grootste gevaren voor bedrijven

  Utrecht, 16 januari 2013 – Bedrijven zien cyberbedreigingen als het op een na grootste gevaar na economische instabiliteit. Dit


14-01-2013

Kaspersky Lab identificeert Operatie "Red October", een geavanceerde cyberspionage-campagne

  Aanvallers creëerden unieke, zeer flexibele malware om geopolitieke inlichtingen te stelen van de computersystemen, mobiele telefoons en enterprise netwerkapparatuur