Struttura del payload di Duqu (by Kaspersky Lab)
I laboratori di ricerca di Kaspersky stanno analizzando il payload di Duqu e non riescono a capire con che linguaggio sia stato scritta una parte del malware.
Ogni compilatore, infatti, lascia una sorta di impronta di riconoscimento nel codice binario che crea e una parte di Duqu sembra essere stata realizzata con un compilatore diverso da quelli noti.
La parte esterna della DLL è un normale eseguibile PE realizzato con Visual Studio 2008, ma il modulo di connessione al C&C e di download di eventuali altre parti del malware non presenta i tratti tipici dei compilatori noti.
Dalle analisi di Kaspersky il linguaggio sorgente è con ogni probabilità un linguaggio ad oggetti che comunicano tra loro attraverso metodi, code di chiamate differite e callback; inoltre non sembrano esserci chiamate a librerie di runtime, ma vengono invocate direttamente le API di Windows.
Ulteriori e più tecnici dettagli sono qui, se qualcuno vuole contribuire può farlo lasciando un commento alla pagina.
Aggiornamento del 19/3/2012 – Il problema è stato risolto: quella parte è stata scritta utilizzando un’estensione custom a oggetti del C chiamata “OO C” e compilata con Microsoft Visual Studio Compiler 2008 utilizzando particolari opzioni di ottimizzazione.
Ci sono di mezzo i rettiliani che hanno scritto parte di Maqu usando qualche linguaggio di programmazione del loro pianeta. Attendetevi “approfondimenti” da parte di Giacobbo su questo tema.
LOL
Credo che il solo concetto di DLL trascenda le capacita’ cognitive del soggetto.