Эксперты «Лаборатории Касперского», анализировавшие код опасного трояна Duqu, пришли к весьма неожиданным выводам.
Duqu, сообщения о повышенной активности которого появились в октябре 2011-го, имеет поразительное сходство с нашумевшим червем Stuxnet. Главная задача Duqu — сбор конфиденциальных данных об имеющемся на предприятии оборудовании и системах, используемых для управления производственным циклом. Это может быть любая информация, которая пригодится при организации нападения: скриншоты, логи с клавиатуры, список запущенных процессов, данные учетных записей пользователей и пр.
Один из важнейших нерешенных вопросов, связанных с Duqu, заключается в том, как эта троянская программа обменивается информацией со своими командными серверами после заражения компьютера-жертвы. Эксперты пришли к выводу, что модуль Duqu, отвечающий за коммуникацию, является частью его библиотеки с основным кодом (Payload DLL).
На первый взгляд, отмечается в сообщении «Лаборатории Касперского», Payload DLL выглядит как обычная загружаемая библиотека формата Windows PE, скомпилированная Microsoft Visual Studio 2008 (версия компоновщика 9.0). Однако при детальном изучении библиотеки специалисты обнаружили, что часть ее кода, отвечающая за взаимодействие с командным сервером, написана на неизвестном языке программирования.
Начать дискуссию