Kaspersky Lab descobre Linguagem de Programação Desconhecida no Trojan Duqu

07 mar 2012
Notícias de Vírus

Os peritos anti-malware da Kaspersky Lab descobriram que parte do Trojan Duqu foi escrita numa linguagem de programação desconhecida.

O Duqu é um Trojan sofisticado que foi criado pelas mesmas pessoas que criaram o infame worm Stuxnet. O seu principal objectivo é actuar como uma backdoor no sistema e facilitar o roubo de informação privada. O Duqu foi detectado pela primeira vez em Setembro de 2011, mas segundo dados da Kaspersky Lab, o primeiro vestígio do Duqu relacionado com a presença de malware remonta a Agosto de 2007. Os especialistas da empresa já registaram mais de uma dezena de incidentes envolvendo o Duqu, com a grande maioria das vítimas localizadas no Irão. Uma análise às actividades das organizações que acabaram por ser vítimas deste Trojan e à natureza da informação capturada sugere claramente que o principal objetivo dos ataques era roubar informações sobre os sistemas de controlo industrial utilizados numa série de indústrias, bem como a recolha de informações sobre as relações comerciais de um conjunto de organizações iranianas.

O grande mistério não resolvido do Trojan Duqu refere-se à forma como o programa malicioso se comunicava com o seu Comando e Controlo (C & C), assim que era infectada a máquina da vítima. O módulo Duqu que era responsável por interagir com os C & Cs é parte da sua DLL Payload. Depois de uma análise abrangente à DLL Payload, os especialistas da Kaspersky Lab descobriram que uma secção específica dentro da DLL Payload, que se comunica exclusivamente com os C & Cs, foi escrita numa linguagem de programação desconhecida. Os analistas da Kaspersky Lab baptizaram nesta seção desconhecida como o "Duqu Framework".

Ao contrário do resto do Duqu, o "Duqu Framework" não é escrito em C ++ e não está compilado com o Microsoft Visual C ++ 2008. É possível que os seus autores tenham utilizado uma estrutura interna para gerar código intermediário C, ou outra linguagem de programação completamente diferente. No entanto, os analistas da Kaspersky Lab confirmaram que a linguagem é orientada a objecto e executa o seu próprio conjunto de actividades relacionadas que são adequadas a aplicações de rede.

"Dado o tamanho do projecto Duqu, é possível que uma equipa totalmente diferente tenha afinal sido responsável pela criação do "Duqu Framework", nada tendo a ver com a equipa que criou os drivers e escreveu as exploits de infecção do sistema", disse Alexander Gostev, especialista em segurança Chefe da Kaspersky Lab. "Com o nível extremamente elevado de personalização e exclusividade que a linguagem de programação foi criada, também é possível que ela tenha sido feita não só para evitar que as partes externas compreendessem como funcionam as capacidades de ciber-espionagem e as interacções com os C&Cs, mas também para manter as coisas separadas das outras equipas do Duqu, responsáveis por escrever as componentes adicionais do programa malicioso".

De acordo com Alexander Gostev, a criação de uma linguagem de programação dedicada demonstra o quão altamente qualificados os programadores que trabalham no projecto são, e aponta para os significativos recursos financeiros e de trabalho que foram mobilizados para garantir que o projecto é implementado.

A Kaspersky Lab gostaria de fazer um apelo à comunidade de programadores, pedindo a todos os que reconheçam o framework, o toolkit ou a linguagem de programação que contacte os seus analistas.

Estamos confiantes de que, com a sua ajuda, podemos resolver o mistério desta saga Duqu. A versão completa da análise ao "Duqu Framework", feita por Igor Soumenkov e Raiu Costin, pode ser encontrada na página da SecureList.

Acerca da Kaspersky Lab:

Kaspersky Lab é a maior companhia antivírus da Europa. A Kaspersky Lab proporciona uma das protecções mais imediatas do mundo contra ameaças à segurança informática, incluindo vírus, spyware, crimeware, hackers, phishing e correio spam. A companhia está entre os quatro primeiros fabricantes mundiais de soluções de segurança informática para utilizadores finais. Os produtos e soluções da Kaspersky Lab proporcionam um dos tempos de resposta mais rápidos e níveis de detecção mais elevados da indústria, tanto para utilizadores particulares, pequenas e médias empresas e grandes corporações, como para ou ambiente informático móvel. A tecnologia da Kaspersky® também está incluída em produtos e serviços de outros criadores de soluções de segurança líderes da indústria informática. Leia mais na nossa página www.kaspersky.pt. Para conhecer as últimas novidades em antivírus, antispyware e outros aspectos e tendências em segurança informática, visite www.securelist.com.

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.