Kaspersky_Pressemitteilung_ Duqu neue Sprache analysiert
Werbung
PRESSEMITTEILUNG Die Saga geht weiter: Kaspersky Lab analysiert mysteriöse Programmiersprache im Duqu-Trojaner Moskau/Ingolstadt, 19. März 2012 – Nachdem Kaspersky Lab im Trojaner Duqu eine bis dato unbekannte Programmiersprache entdeckt hatte, rief das Unternehmen Programmierer zur Mithilfe bei der Analyse auf [1]. In Duqu wurde ein unbekannter Code-Block innerhalb eines Teilbereichs der Payload-DLL identifiziert. Der unbekannte Codebereich, genannt „Duqu Framework“, war ein Teil der Payload-DLL, die für die Interaktion mit den Command-and-Control-Servern (C&C) verantwortlich war, wenn Duqu eine Maschine infizierte hatte. Nachdem sehr viele wertvolle Hinweise der Programmierer-Community bei Kaspersky Lab eingingen, konnten die Kaspersky-Experten nun mit höchster Wahrscheinlichkeit feststellen, dass das Duqu-Framework aus Quellcode der Programmiersprache „C“ besteht, die mit Microsoft Visual Studio 2008 und speziellen Optionen für die Optimierung der Codegröße und der Inline-Ersetzung kompiliert wurde. Der Code wurde zudem mit einer angepassten Erweiterung erstellt, um objektorientiertes Programmieren mit C zu kombinieren, allgemein auch als „OO C“ bezeichnet. Diese Art der hausinternen Programmierung ist sehr ausgeklügelt und wird eher in komplexer Malware, die vermutlich von staatlichen Stellen erstellt wird, als in aktueller herkömmlicher Malware gefunden. Kaspersky Lab geht von zwei mögliche Varianten aus, warum sich die Entwickler von Duqu für OO C statt für C++ entschieden haben: Mehr Kontrolle über den Code: Als C++ erschien, haben viele Entwickler der alten Schule diese Sprache nicht genutzt, weil sie dem Speicherort und anderen Sprachfunktionen nicht vertraut haben, die die indirekte Ausführung von Code ermöglichen. OO C dürfte ein sichereres Framework bieten, das unerwartete Verhaltensweisen eher ausschließt. Seite 1 Extreme Portabilität: Vor etwa 10 bis 12 Jahren war C++ kaum standardisiert. Daher war es möglich C++-Code zu entwickeln, der nicht mit jedem Compiler dialogfähig war. Die Nutzung von C erlaubt Programmierern extreme Portabilität, weil sie jede existierende Plattform zu jeder Zeit ins Visier nehmen können, ohne die Einschränkungen von C++. „Unsere Schlüsse deuten darauf hin, dass der Code von einem Entwickler-Team der alten Schule geschrieben wurde. Sie wollten ein maßgeschneidertes Framework entwickeln, um eine höchst flexible und adaptierbare Angriffsplattform zu unterstützen. Der Code könnte von früheren Cyberoperationen wiederverwendet und für die Integrierung in den Duqu-Trojaner angepasst worden sein“, so Igor Soumenkov, Malware-Experte bei Kaspersky Lab. „Jedenfalls wird deutlich, dass diese Technologien üblicherweise bei elitären Software-Entwicklern eingesetzt werden und fast nie in heutzutage verwendeter Malware zu sehen ist.“ Kaspersky Lab bedankt sich bei allen Programmierern, die bei der weiteren Analyse von Duqu mit geholfen haben. Die vollständige Version der Analyse findet sich auf http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved [1] Quelle: http://newsroom.kaspersky.eu/de/texte/detail/article/kaspersky-experten- entdecken-bislang-unbekannte-programmiersprache-in-duqu-trojaner Für Journalisten und Redakteure hat Kaspersky Lab einen Newsroom eingerichtet. Unter http://newsroom.kaspersky.eu finden Sie alle aktuellen Unternehmens- und Hintergrundinformationen inklusive Audio-, Video- und Bilddateien. Seite 2 Kaspersky Lab ist Europas größtes Unternehmen für Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf ITSicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheitslösungen für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als auch bei KMU, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und kurzen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender ITSicherheitsunternehmen. Weitere Details zum Unternehmen sind unter www.kaspersky.de zu finden. Kurzinformationen von Kaspersky Lab erhalten Sie zudem über www.twitter.com/Kaspersky_DACH. Aktuelles zu Viren, Spyware und Spam sowie Informationen zu anderen IT-Sicherheitsproblemen und Trends sind unter www.viruslist.de abrufbar. Redaktionskontakt: essential media GmbH Florian Schafroth [email protected] Tel.: +49-89-7472-62-43 Fax: +49-89-7472-62-17 Landwehrstraße 61 80336 München Kaspersky Labs GmbH Christian Wirsig [email protected] Tel.: +49-841-98-189-325 Fax: +49-841-98-189-100 Despag-Straße 3 85055 Ingolstadt © 2012 Kaspersky Lab. The information contained herein is subject to change without notice. The only warranties for Kaspersky Lab products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. Kaspersky Lab shall not be liable for technical or editorial errors or omissions contained herein. Seite 3
