从Duqu木马呈现以来,卡巴斯基施行室就不竭慎密监控该木马,资助用户打点其带来的种种题目问题。不久前,卡巴斯基施行室号令编程社区资助识别Duqu木马中恶意无效负荷DLL文件中包孕的一段未知代码,今日卡巴斯基施行室揭开了Duqu木马的疑团。
据相识,此中的未知代码段被称作“Duqu架构”,是该恶意软件无效负荷DLL文件的一局部,其重要成果是同下令节制地方(C&C)处事器举办交互。在收到少量来自编程社区的反映后,卡巴斯基施行室的专家险些可以必然,Duqu架构包孕由Microsoft Visual Studio 2008编译的“C”源代码,并且对代码体积和代码嵌入举办了优化。源代码还驳回了定制的扩充名,便于操作C举办面向器材的编译,但凡称作“OO C”。这类外部编程要领十分宏壮,但凡使用于外部软件项目中。在古代恶意软件中并不罕有。
当然很难剖明为什么网路罪犯会操作OO C编程,而没有驳回C++编写Duqu架构。测度其缘故起因重要如下:
一、对源代码更好的节制:当C++最早颁布时,良多资格较老的编程职员并没有当即就驳回这一言语。由于他们对C++的内存分拨以及此外编程特色不信托,年夜约招致代码无奈直接施行。而OO C架构则更牢靠一些,孕育产生不成展望的举动几率较低。
二、极高的可移植性:约莫10-12年前,C++还没有完全标准化。以是,那时的C++代码年夜约无奈同全数的编译措施互通。操作C的话,编程者所写措施的可移植性年夜年夜加强,由于C可以或许面向那时全数的平台,而不受C++种种限定的影响。
“上述两个缘故起因剖明,Duqu架构的代码是由经历丰硕的‘老派’编程团队所斥地的。方针是发现一个可定制的架构,从而确保其成为具备高度机动性和可扩充性的冲击平台。这些源代码年夜约之前用于其他网路举措中,之后才被从头定制,集成到Duqu木马中,”卡巴斯基施行室的恶意软件专家Igor Soumenkov剖明说,“可是,有一点咱们可以确认。即该恶意软件所操作的这些身手一样泛泛只存在于精英软件斥地者中,很少使用于当今的恶意软件中。”
阅读(343) | 评论(0) | 转发(0) |
