Pakar dari Makmal Kaspersky berkata dengan ijazah tinggi, diyakini bahawa rangka kerja(framework) Duqu ditulis menggunakan custom object-oriented extension kepada C, umumnya dipanggil "OO C" dan disusun dengan Pengkompil Microsoft Visual Studio 2008(MSVC 2008) dengan pilihan khas untuk mengoptimumkan saiz kod dan pengembangan sebaris.
Expert Makmal Kaspersky, Igor Soumenkov menulis,
"No matter which of these two variants is true, the implications are impressive. The Payload DLL contains 95 Kbytes of event-driven code written with OO C, a language that has no automatic memory management or safe pointers,".
Di bawah ini adalah analisis Kaspersky peroleh buat masa sekarang:
- The Duqu Framework consists of "C" code compiled with MSVC 2008 using the special options "/O1? and "/Ob1?
- The code was most likely written with a custom extension to C, generally called "OO C"
- The event-driven architecture was developed as a part of the Duqu Framework or its OO C extension
- The C&C code could have been reused from an already existing software project and integrated into the Duqu Trojan
Rangka kerja(Framework) Duqu mungkin telah dicipta oleh pasukan pengaturcaraan yanng berbeza, kerana ianya unik untuk Duqu, tidak seperti kebanyakkan Duqu lain yang lebih di lihat meminjam terus daripada Stuxnet. Ia dipercayai bahawa pembangun(developer) adalah dari orang lama yang tidak mempercayai C++ dan disebabkan itu mereka bergantung kepada C. Sebab yang lain menggunakan OO C adalah disebabkan kembali semula ke zaman nostalgia mereka yang lebih mudah alih dari C++.
Mengetahui teknik-teknik yang digunakan untuk membangunkan malware membolehkan penyelidik Kaspersky untuk membuat tekaan yang lebih baik untuk meneka siapa menjadi dalang di sebalik kod ini. Mewujudkan Duqu adalah satu projek besar, jadi ada kemungkinan bahawa terdapat pasukan yang berbeza bertanggungjawab untuk mewujudkan Rangka Kerja Duqu, sementara yang lain bekerja untuk mewujudkan pemacu dan eksploitasi jangkitan sistem. Dalam senario ini mungkin mereka yang mencipta rangka kerja Duqu ini tidak mengetahui tentang maksud sebenar kerja mereka.
Duqu pertama kali dikesan pada September 2011, tetapi Makmal Kaspersky percaya ia telah melihat kepingan pertama malware Duqu ini sejak Ogos 2007. Firma keselamatan Rusia juga mencatatkan Duqu ini, seperti Stuxnet yang sebelum ini, yang mempunyai sasaran tinggi dan berkaitan dengan program nuklear Iran.
Rujukan: Mystery of Duqu Programming Language Solved
Sekian.
0 comments:
Post a Comment