lauantai 10. maaliskuuta 2012

Mystinen haittaohjelma: koodi ei muistuta mitään tunnettua kieltä

Tietoturvatalo Kaspersky Labin asiantuntijat ovat pyytäneet yleisöltä apua. Yrityksistä huolimatta he eivät ole saaneet selville, mitä ohjelmointikieltä, sovelluskehystä tai kääntäjää on käytetty Duqu-troijalaisen keskeisen osan kehittämiseen.
Osa Duqun dll-kirjastosta on kirjoitettu tavallisella c++-koodilla, mutta suuri osa ei.
”Tämä osuus eroaa muista, koska sitä ei ole käännetty c++:sta. Siinä ei ole mitään viittauksia mihinkään tavallisiin tai käyttäjien kirjoittamiin c++-toimintoihin, mutta kyseessä on ehdottomasti olio-ohjelmointikieli”, Kasperskyn asiantuntija Igor Soumenkov arvioi blogikirjoituksessa.
Kaspeskyn tutkijat uskovat, että tämän osuuden on saattanut kehittää jokin toinen ohjelmointiimi. Koodi on uniikkia, eikä sitä esimerkiksi esiinny toisessa tunnetussa haittaohjelmassa Stuxnetissä, jonka koodista osia oli lainattu myös Duquun.

"Näyttää täysin vieraalta"

Tietoturvatalo sanoo, ettei ohjelmointikieli ole varmuudella ainakaan c++:aa, objective c:tä, javaa, pythonia, adaa, luaa tai montaa muutakaan jo tarkistettua kieltä. Kaspersky vakuuttaa käyttäneensä lukuisia tunteja koodin analysoimiseen ja keskustelleensa myös ulkopuolisten asiantuntijoiden kanssa.
Kaikesta huolimatta haittaohjelman mysteeri ei ole ratkennut. ”Se näyttää täysin vieraalta”, Kasperskyn päätutkija Vitaly Kamluk sanoo koodista.
Yhtiö on jo saanut useita ehdotuksia siitä, mitä koodi voisi olla. Yleisö on arvellut, että kyseeseen voisivat tulla muun muassa ohjelmointikielet f, d, iron python, high-level assembly, common lisp, forth, erlang, vala tai vielä eksoottisemmat työkalut kuten rosert, jota väitetään käytettävän hallitusten salaisissa projekteissa.


Lähde: Tietoviikko

Ei kommentteja:

Lähetä kommentti