Самый известный троян современности написан на неизвестном языке программирования. Это указывает на многомиллионные инвестиции в его разработку и на государственный заказ по его созданию.

отметили
141
человек
в архиве
Самый известный троян современности написан на неизвестном языке программирования. Это указывает на многомиллионные инвестиции в его разработку и на государственный заказ по его созданию.
Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского». По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.

Важный фрагмент кода известного трояна Duqu написан на неизвестном до сих пор языке программирования, рассказал CNews главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
Фрагмент кода, написанный на неизвестном языке программирования, получил в «Лаборатории Касперского» название «Фреймворк Duqu». Он предназначен для обмена информацией модуля, внедряемого в систему, с командными серверами Duqu.

По словам эксперта, при изучении Duqu аналитиками «Лаборатории Касперского» было проверено около трех десятков языков «включая Brainfuck и Haskell». «Мы пытаемся распознать его с ноября 2011 г. Мы спросили самых крутых специалистов-реверсеров в Microsoft, но не нашли языка, который бы создавал подобный код», — говорит Александр Гостев.

Напомним, что о трояне Duqu стало известно 1 сентября 2011 г. По предположению экспертов, этот троян был создан для точечных атак и кражи информации промышленных объектов, а также правительственных и коммерческих структур Ирана.
Добавил yache yache 8 Марта 2012
проблема (1)
Комментарии участников:
LevM
+18
LevM, 8 Марта 2012 , url
Его написали инопланетяне! В отместку за «Independence Day» когда чувак накатал вирус для инопланетного корабля. Те тоже наверное не подумали проверить его код на MS Visual Studio 95.
источник: farm7.staticflickr.com

GreyWolf
+4
GreyWolf, 8 Марта 2012 , url
Не было такой «MS Visual Studio» ;)
Nik_vr
0
Nik_vr, 8 Марта 2012 , url
На этом скрине вообще не Windows. Вроде бы старая MacOS.
LevM
-1
LevM, 9 Марта 2012 , url
Точно-точно, запамятовал. В те времена, вроде были 5я и 6я. Глубже в прошлое не помню, тогда Борланд рулил.
GreyWolf
0
GreyWolf, 9 Марта 2012 , url
Помню, я программировать на 5-ой начал, Помню когда 6-ая вышла такой прогресс, всякие фишки в виде аутокомлита и т.п.
LevM
0
LevM, 9 Марта 2012 , url
Мне даже перепала документация от 5й. Томов 20! Полка от края до края! То была ценность ;)
GreyWolf
+1
GreyWolf, 9 Марта 2012 , url
Помню какая-то VS с MSDN занимала около 10 CD, и инсталлируя надо было менять CD около 50 раз, так как логика тех кто делил на CD была самой крутой в мире. Пол дня надо было инсталлировать и нельзя было отойти от компа так как не знаешь когда и сколько раз надо будет менять CD…
TNet
+1
TNet, 8 Марта 2012 , url
Помню, под DOS в свое время были генераторы вирусов. Никакие языки не использовались (вроде), просто галочки надо было ставить.
shopos
+1
shopos, 8 Марта 2012 , url
компилятся все равно же чем то. просто машинные коды генерировать — сложновато
shopos
0
shopos, 8 Марта 2012 , url
а как тогда?
TNet
+1
TNet, 8 Марта 2012 , url
Сложно да. В тех вирусогенераторах вроде ассемблер (шаблонные asm-блоки) использовался, т.е. в итоге только генератор кода, вероятно от Борланд.
Но если задаться целью, то написать свой некомерческий генератор по x86, не так сложно. Задач поддержки всевозможных команд выше P5 не стоит, набор машинных инструкций ограничен сотней вариаций простоых команд CISC. Зато например появляется преимущество, вероятно, против эвристических анализаторов антивирусов или что-то в этом духе. Имхо, в любой полиморфный вирус встроен подобный функционал.
fStrange
+11
fStrange, 8 Марта 2012 , url
По словам эксперта, при изучении Duqu аналитиками «Лаборатории Касперского» было проверено около трех десятков языков «включая Brainfuck и Haskell». «Мы пытаемся распознать его с ноября 2011 г. Мы спросили самых крутых специалистов-реверсеров в Microsoft, но не нашли языка, который бы создавал подобный код»,
Имхо бредятина.
Скорее всего банальная обфускация скомпилированного кода.

Не вижу каких то особых причин, чтобы для написания вирусов изобретать новый язык. Скорее наоборот, есть причины его не изобретать. Специализированный язык могут опознавать антивирусы по характерным кускам кода. И если язык используется только для написания вирусов, программу с такими «отпечатками» можно банить не задумываясь.

shopos
0
shopos, 8 Марта 2012 , url
впринципе можно же и затирать признаки принадлежности к определенному языку программирования
fStrange
+2
fStrange, 8 Марта 2012 , url
Можно конечно, только изобретать язык, а потом затирать следы? Сами придумали проблему и начали ее решать?

Смысла в этом мало.
shopos
0
shopos, 8 Марта 2012 , url
на чем то популярном написать, а потом скрыть следы. не нужно писать язык
GreyWolf
+7
GreyWolf, 8 Марта 2012 , url
Вот чудики… Да на асме его написали, чтобы код компактней был. А потом еще чем нибудь кастрировали выпилив всякие не нужные «This program cannot be run in DOS mode.» :)

shuron
+1
shuron, 8 Марта 2012 , url
вот вот
или максимум язык которым координирующий сервак «задает задачу» трояну. я б наверно тоже свой придумал…
aleksejtimofeev
+3
aleksejtimofeev, 8 Марта 2012 , url
По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.

Недавно Носик в ЖЖ «орал» что все ДДОСы крышуются МВД, теперь и Касперский подозревает государство в киберпреступлениях.
LevM
+4
LevM, 8 Марта 2012 , url
Не знаю, все-ли, но атака ФСБ (или кто там этим у вас занимается) на Грузию и прибалтику в период грузинской войны цитируется как один из первых примеров кибервойны.
yache
0
yache, 8 Марта 2012 , url
Оу, так мы их атаковали? Круто, блин, я думал, что таких войск у нас нет…
LevM
+4
LevM, 8 Марта 2012 , url
В России все с этим в порядке. Поройтесь, есть интересные доклады на эту тему. Информация есть именно по РФ и Китаю как о потенциальных противниках тех кто такого рода информацию обязан выкладывать публично.
yache
0
yache, 8 Марта 2012 , url
А вдруг я начну рыться и меня отследят?
banned
0
banned, 8 Марта 2012 , url
ну если все так круто (сюрприз!, для меня), то вряд ли Ваша скромная персона кого то заинтересует.
banned
0
banned, 8 Марта 2012 , url
Лев, у нас колоссальная нехватка квалифицированных кадров в армии. возможно ли, что т.н. кибервойска — это 3,5 гения-самородка в МО?

вчера знакомый связист: " — на неделе пришла новая аппаратура, а по документам, она у нас на вооружении с 2007 г..."
LevM
+3
LevM, 8 Марта 2012 , url
Ну, это не армия ведь куда с улицы призывают, а какой-то отдел в ГРУ. Не знаю из первых рук, не сталкивался лично, но структуры Китай и Россию все время упоминают как активных игроков в кибер атаках. Вот, без особо длительных поисков: Раз, двас, трис. Плюс, доклад в US Конгресс, лень искать.
dim_22
+2
dim_22, 8 Марта 2012 , url
Один дальний знакомый учился в Питере в военном училище (к сожалению не помню в каком). Так вот, если бы он закончил учебу, то служил бы как раз в ГРУ и как раз в киберразведке. Помню рассказывал, что на 1-2 курсе они изучали криптографию и писали программы распознавания наземных объектов по фотографиям со спутника. Так что спецы в разведке точно есть. Ну а то, что мы о них не слышим… так на то она и разведка.
-Ты суслика видешь? -Нет -Вот! А он есть :)
fakenews
-1
fakenews, 8 Марта 2012 , url
это люди которые попались и теперь выполняют работу для спетслужб. это еще называется «завербованы». поверь, в странах СНГ специалистов по мутным делам в сфере ИТ гораздо больше чем во всех остальных странах вместе взятых.
fakenews
0
fakenews, 8 Марта 2012 , url
войск нету, специалистов хватает. я бы назвал их «временно свободными»
Max Folder
+3
Max Folder, 8 Марта 2012 , url
Лев, а что пишут и что мы атаковали?
Насколько я помню, добрые люди выложили списки грузинских сайтов и предлагали на них зайти каждому желающему как можно чаще.
Т.е., никаких кибервойск, одна набегающая кибертолпа с несколькими координаторами. Причем, никакого явного ущерба я не вижу — ну не работали немножко сайты грузинского правительства и посольства. Это ж не критично и не смертельно.
LevM
+2
LevM, 8 Марта 2012 , url
Официально, Россия отрицала, но многие службы видимо разбирались — было интересно. Вроде решили что правительство.
Цитата из доклада Конгрессу:
nations, including Russia and China, have the technical capabilities to target and disrupt elements of the U.S. information infrastructure…

Другой доклад пишет:
Motivated by Russia’s high dependence on natural
resources, the need to diversify its economy, and
the belief that the global economic system is
tilted toward US and other Western interests at
the expense of Russia, Moscow’s highly capable
intelligence services are using HUMINT, cyber, and
other operations to collect economic information
and technology to support Russia’s economic
development and security.


The IC anticipates
that China and Russia will remain aggressive
and capable collectors of sensitive US economic
information and technologies, particularly in
cyberspace. Both will almost certainly continue to
deploy significant resources and a wide array of
tactics to acquire this information from US sources,
motivated by the desire to achieve economic,
strategic, and military parity with the United States.

Two trends may increase the threat from Russian
collection against US economic information and
technology over the next several years.
• The many Russian immigrants with advanced
technical skills who work for leading US
companies may be increasingly targeted for
recruitment by the Russian intelligence services.
• Russia’s increasing economic integration with
the West is likely to lead to a greater number of
Russian companies affiliated with the intelligence
services—often through their employment of
ostensibly retired intelligence officers—doing
business in the United States.

Russia and
Iran have aggressive programs for developing
and collecting on one specific area of advanced
materials development: nanotechnology.

Russia also is seen as an important actor in cyberenabled
economic collection and espionage against
other countries, albeit a distant second to China.
Germany’s BfV notes that Russia uses CNE and e-mail
interception to save billions of dollars on R&D in the
energy, information technology, telecommunications,
aerospace, and security sectors.
• The Director-General of the British Security
Service publicly stated that Russia, as well as
China, is targeting the UK’s financial system.
• A Russian automotive company bribed executives
at South Korea’s GM-Daewoo Auto and
Technology to pass thousands of computer files
on car engine and component designs in 2009,
according to a press report.
• A German insider was convicted of economic
espionage in 2008 for passing helicopter
technology to the Russian SVR in exchange for
$10,000. The insider communicated with
his Russian handler through anonymous
e-mail addresses.
Max Folder
+3
Max Folder, 8 Марта 2012 , url
Про Грузию, вроде, ничего не сказано. А с моим малым знанием английского языка в этих цитатах я вижу только создание образа врага, с целью увеличения бюджета для вояк. Мне почему-то кажется, что, если завтра война, американцы очень легко отключат нас от пары-тройки основных кабелей, и кибервойна не состоится.
LevM
0
LevM, 8 Марта 2012 , url
Про Грузию где-то в другом видел. А образ врага… за что купил, за то продаю. Они свои угрозы оценивают. Ясно, денег хотят, но и обманывать Конгресс — напрашиваться на серьезный геморрой.
Max Folder
+1
Max Folder, 8 Марта 2012 , url
Да они как бы никого не обманывают.
Я процитирую (Брюс Бетке «Интерфейсом об тейбл» (Headcrash)).
После обеда нам позвонили и велели поднять сеть обратно. Обычно для этой сложной и опасной процедуры требуется как минимум пять человек, шесть терминалов, много крика и беготни…

ФРЭНК (он же Ян Хуанг) Донг возвышается над своим терминалом, вдохновенно вскинув руки над клавиатурой, — так великий пианист настраивает и расстраивает свою тонкую душу перед особенно трудным фортепианным концертом Рахманинова. Седеющий, разменявший шестой десяток, но все еще статный выходец из Азии, он, безусловно, здесь главный. В его глазах, защищенных стеклами очков, — сияющий свет спокойного мужества и отблески неоновых светильников.

Завершив свою краткую медитацию, он полной грудью вдыхает воздух, медленно выдыхает, затем, встав на цыпочки, заглядывает в смежные ячейки — прямо в глаза своим верным помощникам.
Затем на паре страниц описывается, как персонажи бегают по помещению со страшными криками с огнетушителями и мотками кабеля в руках.
Как я уже говорил, в обычной ситуации воскрешение сети — дело тонкое и небезопасное. Однако в тот день на нашем этаже не было представителей менеджмента и маркетинга, так что от стандартной процедуры мы отказались, а просто послали Т'Шомбе к терминалу в машинный зал, чтобы она ввела односложную команду «start» — ту самую, с помощью которой в действительности запускается компьютер.
GreyWolf
+1
GreyWolf, 8 Марта 2012 , url
Однако в тот день на нашем этаже не было представителей менеджмента и маркетинга
Вот подфортило. Не надо заполнять change request, order, собирать approve'ы и т.д.
ch3
+2
ch3, 8 Марта 2012 , url
там была куча дефейсов госсайтов, содержащих коллажи с Адольфом Алоизовичем. Причем вылезли они скопом за один вечер.
Хотя совсем не факт, что это госструктуры. Эстонию во время заварушки с бронзовым солдатом долбили вполне себе негосударственные детки с веб-хака.
syschel
+2
syschel, 8 Марта 2012 , url
Зато тысячи людей уверены что стреляя из водяного пистолета (пингуя сайты) они их обрушали. А что паралельно была массированая ддос атака о которой не офишировали в СМИ сильно, про это умалчивается.

З.Ы. То что на вэбхаке(античате и некоторых других подобных форумах) было, потом гордо заявили в СМИ, что это дело рук прокремлёвского движения «Наши». Они ещё тогда на себя вину брали.
З.Ы.Ы. Когда на вебхаке ломали сайты премьера Эстонии обычные студенты. Эстонцы орали что их атакует ФСБ РФ. Якобы они по ИП отследили заходы на их сайты. =)
syschel
0
syschel, 8 Марта 2012 , url
Раньше была Эстония с темой бронзового солдата. Они тогда ещё из натовских «спецов» у себя открывали «штаб киберобороны». :-)
Barban
+6
Barban, 8 Марта 2012 , url
Это Матрица, она уже родилась и сама для себя пишет языки
Mangol
+1
Mangol, 8 Марта 2012 , url
ассемблер никто не отменял вроде. знаю программистов, которые на ассемблере могут программировать ООП
LevM
+4
LevM, 8 Марта 2012 , url
ООП на ассемблере — какая-то бессмыслица. Перыве C++ компайлеры были преобразовывали классы в обычный С и вызывали компайлер С. На уровне асемблера вообще нет никакой разницы между ООП и не-ООП. Так, удобство выражения мыслей.
Mangol
+3
Mangol, 8 Марта 2012 , url
бессмыслица и есть. пример показывает уровень развития программиста и какие объёмы структур он может держать одновременно в голове. фактически работает как компилятор. олдскул
SjA
+3
SjA, 8 Марта 2012 , url
Вполне себе смыслица. ООП — вопрос организации исходного кода на ассемблере. Можно написать всё в одном asm файле, а можно разбить на модули с инкапсуляцией. Можно построить логику на if (вернее cmp/jz/jnz… кажется ?), а можно использовать таблицы функций в качестве интерфейса…
techlife
+2
techlife, 8 Марта 2012 , url
В лаборатории Касперского уже выросло поколение, которое не знает что такое ассемблер.
fStrange
+1
fStrange, 8 Марта 2012 , url
Загадка фреймворка Duqu

Достаточно любопытно написано.

Выводы

Фреймворк Duqu, возможно, написан на неизвестном языке программирования.
В отличие от остальных компонентов Duqu, исходный язык Фреймворка— не C++, при этом использован отличный от Microsoft's Visual C++ 2008 компилятор.
Событийно-ориентированная архитектура позволяет коду выполняться в разных, в том числе асинхронных средах.
С учетом масштаба проекта Duqu можно предположить, что Фреймворк разрабатывала отдельная команда, не связанная с авторами эксплойтов и остальных его компонентов.
Загадочный язык программирования — определенно НЕ C++, Objective C, Java, Python, Ada, Lua и не многие другие языки, которые мы проверили.
Фреймворк Duqu — одна из особенностей, значительно отличающих Duqu от Stuxnet, который полностью написан на MSVC++.
GreyWolf
0
GreyWolf, 8 Марта 2012 , url
использован отличный от Microsoft's Visual C++ 2008 компилятор
Может они просто на MinGW компилировали. :)
fStrange
0
fStrange, 8 Марта 2012 , url
Ну я думаю варианты компиляторов и их опций они перебирали.
GreyWolf
+4
GreyWolf, 8 Марта 2012 , url
Прикольно они написали
использован отличный от Microsoft's Visual C++ 2008 компилятор
У них как-то свет клином сошел на Microsoft's Visual C++ 2008, Одних только Microsoft's Visual Studio 10 штук, не считая Visual Studio 11, который на подходе, а они на 2008 зациклились…
botman
0
botman, 8 Марта 2012 , url
тьфу, промахнулся… хотел плюс нажать
P66g
+1
P66g, 8 Марта 2012 , url
таки я не понял — на кирилице что там програмеры написали — оссюда «русский след»?
davaeron
+1
davaeron, 8 Марта 2012 , url
хуета
Корнеплод
0
Корнеплод, 8 Марта 2012 , url
Это говорит о том, что Касперский хочет таких же инвестиций в себя. Но увы. Учитесь у Минобороны.
pomorin
+9
pomorin, 8 Марта 2012 , url
Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского».
Кому, как не антивирусникам знать, на чем писать вирусы?
При нынешнем финансовом положении дел в антивирусах, вирусы будут всегда. Такой рынок будет подпитывать сам себя.
(Ну и так, чисто для примера — gcc под линуксом тоже может компилять exeшники под любую ДОС или Виндовс, были бы библиотеки соотвествующие. И любые сигнатуры внедрить при современном уровне полиграфического оборудования — раз плюнуть...)


fakenews
+4
fakenews, 8 Марта 2012 , url
а дмитрикс думает что ты сантехник…
fakenews
+2
fakenews, 8 Марта 2012 , url
типа стремно иметь простую рабочую специальность? считаешь что успешные пацаны становятся «эффективными менеджерами» и прочими специалистами по нихуянеделанью?
pomorin
+3
pomorin, 9 Марта 2012 , url
Нормальный мужчина должен уметь делать по дому все. Если он мужчина, конечно.
pomorin
+3
pomorin, 8 Марта 2012 , url
Я ему сам сказал, когда чрезчур стал у меня допытываться. В личке. :) И да, я программистом никогда и не был.
Fireleo
0
Fireleo, 8 Марта 2012 , url
В «Хакере» недавно, человек из ESET статью написал, мол Duqu и Stuxnet на одном исходном коде базируются, этакая «гражданская версия».
syschel
+4
syschel, 8 Марта 2012 , url
Журнал хакер для специалистов, это как «малахов +» для докторов. Не читайте этот жёлтый журнал для детей =)
Fireleo
0
Fireleo, 11 Марта 2012 , url
За последние несколько лет, журнал, немного изменился, публикуют статьи от ESET, Positive Technologies, Digital Security и др. Еще были неплохие статьи с разъяснением законодательства и бумажной работы. Так, что я пока почитаю ещё, а потом видно будет.
nik.korn
0
nik.korn, 8 Марта 2012 , url
Интересно, как тогда этот код распознают компьютеры, если им он не известен. Если код не понятен, то он не может быть выполнен. Хороший вирус!
tur80
+4
tur80, 8 Марта 2012 , url
Вирусмейкеры. Напишите вирус который обновляет ie 6 до последней версии.
tur80
+1
tur80, 9 Марта 2012 , url
Хоронит, то хоронит, но он восмстает из мертвых.

Нашу службу поддержки ежедневно стучатся с вопросами,
«А почему на сайте вот эта кнопочка съехала?»
«Почему это изображение отображается на черном квадрате?» и т.д.
Говорим, мол обновитесь, а они «а у нас такой браузер тут и стоял, как обновить не знаем, мы почту то вчера зарегистрировали».

На каждого такого клиента уходит уйма времени. И они не уменьшаются и ничего там не хоронят, а пользуются старым ишаком. Отказаться от таких клиентов мы не можем.
Константин Пронин
0
Константин Пронин, 8 Марта 2012 , url
Заказная «боевая программа» написана не на C# и не на Basic!!! Ах, какая сенсация!!!
Нормальный профессиональный (подчёркиваю: профессиональный) софт оптимизируется после составления рабочего макета. В отличие от коммерческих продуктов, которые так и продаются в основном — в виде «рабочих макетов».
«Лаборатория Касперского» и «Микрософт» — узконаправленные на торговлю компании. На пространстве промышленных разработок они присутствуют только из-за титанических усилий армии продавцов.
Fireleo
+1
Fireleo, 11 Марта 2012 , url
Lim
0
Lim, 11 Марта 2012 , url
можно, даже, в Блокноте вирус написать.
в HEX-редакторе, конечно проще. в конечном итоге, любой программный код, на каком бы языке он не был написан — последовательность нулей и единиц.


Войдите или станьте участником, чтобы комментировать