Duqu

Duqu  je počítačový červ , který byl objeven 1. září 2011. Někteří badatelé se domnívají, že souvisí s červem Stuxnet [1] . Červ byl pojmenován Duqu kvůli předponě "~DQ", která byla použita ve všech názvech souborů, které vytvořil [2] .

Laboratoř kryptografie a systémové bezpečnosti Budapešťské technické a ekonomické univerzity v Maďarsku vydala 60stránkovou zprávu, která analyzovala tohoto červa [3] . Během vyšetřování se podařilo zjistit, že tento škodlivý program byl distribuován prostřednictvím e-mailu. Systém je infikován prostřednictvím nové zranitelnosti v jádře Windows, která umožňuje spuštění škodlivého kódu a je definována jako CVE-2011-3402 [4] . Po infikování systému a navázání spojení se serverem byl stažen a nainstalován další modul určený ke sběru informací o systému, vyhledávání souborů, pořizování snímků obrazovky , zachycení hesel a řadu dalších funkcí [5] .

Symantec se domnívá, že tvůrci Duqu buď vytvořili Stuxnet, nebo měli přístup k jeho zdrojovému kódu , a jejich cílem bylo shromáždit informace pro další verzi Stuxnetu [6] .

Programovací jazyk

Velkou část Duqu tvoří objektově orientovaný framework napsaný v neznámém jazyce [7] . Virové laboratoře dokonce vyzkoušely exotické jazyky jako Lua , Google Go a AngelScript , ale neuspěly a musely požádat o pomoc komunitu. Řešení se nakonec našlo: ukázalo se, že jde o čistý C , zkompilovaný Microsoft Visual C++ s neobvyklým nastavením optimalizace [8] .

Kód byl napsán pomocí objektově orientovaného přístupu , ale v C, ne v C++. Předpokládá se, že výběr jazyka C provedl autor-programátor ze staré školy, který přecházel z assembleru na C a který neměl rád C++. Použití C v kombinaci s přístupem OO se nachází v komerčních softwarových projektech (například motor Doom ), ale je neobvyklé pro malware a odlišuje Duqu jako neobvyklý vývoj [8] .

Viz také

• Časová osa počítačových virů a červů
• Madi

Poznámky

1. ↑ Mikko. Duqu - Stuxnet 2  (anglicky)  (downlink) . F-Secure (18. září 2011). Získáno 20. března 2012. Archivováno z originálu 12. září 2012.
2. ↑ Vyjádření k úvodní analýze Duqu (downlink) . Laboratoř kryptografie systémové bezpečnosti (CrySyS) (21. září 2011). Získáno 25. září 2011. Archivováno z originálu 3. října 2012. (neurčitý) 
3. ↑ Duqu: Malware podobný Stuxnetu nalezený ve volné přírodě, technická zpráva  (eng.)  (downlink) . Laboratoř kryptografie systémové bezpečnosti (CrySyS) (14. listopadu 2011). Archivováno z originálu 12. září 2012.
4. ↑ CVE -2011-3402  . Národní databáze zranitelností (NVD). Získáno 20. března 2012. Archivováno z originálu 9. června 2012.
5. ↑ Alexander Gostev. Mystery Duqu: Dobrý den, „pane. B. Jason“ a „Dexter“ (downlink) . SecureList (11. listopadu 2011). Získáno 20. března 2012. Archivováno z originálu dne 29. září 2020. (Ruština) 
6. ↑ W32. Duqu. Předchůdce dalšího Stuxnetu Archivováno 9. srpna 2014 na Wayback Machine .
7. ↑ Igor Sumenkov. The Duqu Framework Mystery (odkaz není k dispozici) . SecureList (7. března 2012). Získáno 20. března 2012. Archivováno z originálu 25. února 2018. (Ruština) 
8. ↑ 1 2 Igor Sumenkov. Duqu framework: problém vyřešen (odkaz není k dispozici) . SecureList (19. března 2012). Získáno 20. března 2012. Archivováno z originálu 14. srpna 2020. (Ruština) 

Odkazy

• Íránští programátoři dokázali porazit „malého bratra Stuxnetu“
• Írán se stal obětí viru Duqu  (nepřístupný odkaz)
• Symantec: virus Duqu určený k útoku na určité podniky