卡巴斯基預警：Duqu木馬使用未知編程語言

近日，信息安全廠商卡巴斯基實驗室經過長期跟蹤和研究，發現去年引起業界地震的Duqu木馬正在使用未知編程語言，并向廣大用戶發布預警信號。

Duqu是一種復雜的木馬，最早于2011年9月被發現，其主要功能是充當系統后門，竊取隱私，它的編寫者也創造了臭名昭著的Stuxnet蠕蟲。但是，根據卡巴斯基實驗室數據，第一款同Duqu有關的惡意軟件早在2007年8月就已經出現。此外，卡巴斯基實驗室專家還記錄到超過十多次同Duqu相關的安全事件，其中大部分受害者都位于伊朗。針對這些受害者所屬的組織以及Duqu木馬所竊取的信息進行分析，可以很清楚的看到該木馬的攻擊目的主要是竊取某些應用于特定領域的工業控制系統的相關信息，此外還收集大量伊朗所屬組織的商業關系情報。

目前，業界針對Duqu木馬最大的疑團是該惡意程序感染計算機后，是如何同命令控制中心（C&C）進行通訊的。Duqu木馬用于同C&C通訊的模塊是其有效負荷DLL的一部分。對該有效負荷DLL進行全面的分析后，卡巴斯基實驗室的研究者發現該DLL中存在一段特定采用一種未知編程語言編寫的代碼，其唯一功能就是同C&C進行通訊�？ò退够鶎嶒炇业难芯咳藛T將這一段未知代碼命名為"Duqu架構"。

同Duqu木馬的其它組件不同，Duqu架構并不是采用C++編寫，也沒有使用微軟的Visual C++ 2008進行編譯，很可能其編寫者使用了一種內部架構，生成了媒介C代碼，或者他們使用了一種完全不同的編程語言。此外，卡巴斯基實驗室研究人員已經確認該語言為面向對象式語言，并且能夠自行執行其相關行為，而且適合網絡應用的開發。

Duqu架構所使用的語言高度專業化，能夠讓有效負荷DLL同其它Duqu模塊獨立，通過多種途徑包括Windows HTTP、網絡端口和代理服務器同C&C建立連接。還能夠讓有效負荷DLL直接處理來自C&C的HTTP服務器請求，甚至可以在網絡中的其它計算機上傳播輔助惡意代碼，實現可控制并且隱蔽的感染手段，殃及其它計算機。

卡巴斯基實驗室首席安全專家Alexander Gostev分析說："考慮到Duqu項目的規模，很可能Duqu架構是由一個完全不同的團隊負責編寫的，這一團隊同編寫驅動程序和系統漏洞利用程序的團隊不同。該惡意軟件具有極高的可定制性，并且采用了特有的編程語言編寫。很可能這樣做的目的是防止其他外部第三方人員了解其網絡間諜行為以及同命令控制中心的交互，還能夠確保編寫Duqu其它組件的團隊同樣無法了解該惡意軟件的詳情。"Alexander Gostev認為，這一惡意軟件采用了專門的編程語言，充分說明從事這一項目開發的人員所掌握的技術非常卓越。而且要順利實施開發這一項目，必然需要大量金融和人力資源的支持。

卡巴斯基實驗室呼吁廣大編程社區加入到分析這一惡意軟件的行動中來，如果有人能夠識別出這一架構，或者其中所使用的工具或能夠生成類似代碼結構的編程語言，可聯系卡巴斯基實驗室的專家。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]