In che linguaggio è scritto Duqu?

Struttura del payload di Duqu (by Kaspersky Lab)

I laboratori di ricerca di Kaspersky stanno analizzando il payload di Duqu e non riescono a capire con che linguaggio sia stato scritta una parte del malware.

Ogni compilatore, infatti, lascia una sorta di impronta di riconoscimento nel codice binario che crea e una parte di Duqu sembra essere stata realizzata con un compilatore diverso da quelli noti.

La parte esterna della DLL è un normale eseguibile PE realizzato con Visual Studio 2008, ma il modulo di connessione al C&C e di download di eventuali altre parti del malware non presenta i tratti tipici dei compilatori noti.

Dalle analisi di Kaspersky il linguaggio sorgente è con ogni probabilità un linguaggio ad oggetti che comunicano tra loro attraverso metodi, code di chiamate differite e callback; inoltre non sembrano esserci chiamate a librerie di runtime, ma vengono invocate direttamente le API di Windows.

Ulteriori e più tecnici dettagli sono qui, se qualcuno vuole contribuire può farlo lasciando un commento alla pagina.

Aggiornamento del 19/3/2012 – Il problema è stato risolto: quella parte è stata scritta utilizzando un’estensione custom a oggetti del C chiamata “OO C” e compilata con Microsoft Visual Studio Compiler 2008 utilizzando particolari opzioni di ottimizzazione.


3 commenti a In che linguaggio è scritto Duqu?

  1. Ci sono di mezzo i rettiliani che hanno scritto parte di Maqu usando qualche linguaggio di programmazione del loro pianeta. Attendetevi “approfondimenti” da parte di Giacobbo su questo tema. :-D