Le Privacy Shield, l'accord sur le transfert de données entre l'Europe et les États-Unis, est revendiqué par 200 entités commerciales, dont Microsoft.

L'Image du jour

Le Privacy Shield, l'accord sur le transfert de données entre l'Europe et les États-Unis, est revendiqué par 200 entités commerciales, dont Microsoft.

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

Dernier Dossier

Silicon Valley 2016 : Cap sur l'innovation technologique (2e partie)

En juin dernier, nous avons passé un peu de temps à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour les derniè...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
2
Réagissez Imprimer Envoyer

Le Trojan Duqu partiellement écrit dans un langage mystérieux

A l'abord, la portion de code Payload DLL de Duqu ne semble pas sortir de l'ordinaire. Mais en y regardant de plus près... (crédit illustration : Kaspersky Lab)

A l'abord, la portion de code Payload DLL de Duqu ne semble pas sortir de l'ordinaire. Mais en y regardant de plus près... (crédit illustration : Kaspersky Lab)

Possible cousin de Stuxnet, le malware Duqu défie l'analyse des experts qui continuent à le décortiquer chez Kaspersky.

Le mystère autour du Trojan Duqu (de type Stuxnet) s'est renforcé depuis que l'on a appris que sa charge d'attaque aurait été écrite dans un langage de programmation que l'on n'arrive pas à identifier. Les experts de Kaspersky Labs ont maintenant découvert une grande partie de la structure interne du programme. Celle-ci est presqu'entièrement écrite en C++, de façon assez conventionnelle. Pourtant, en creusant le fichier Payload.dll, l'équipe a trouvé une portion de code, qu'elle a appelée 'Duqu Framework' et qui défie ses analyses. Elle est destinée à une communication furtive avec les serveurs de commande et de contrôle (C&Cs) du Trojan. Il s'agit d'un langage orienté objet d'une grande sophistication pour autant que les experts de Kaspersky ont pu en juger.

« Le mystérieux langage de programmation n'est pas du C++, ni de l'Objective C, pas plus que du Java, du Python, de l'Ada, du Lua ou l'un des nombreux autres langages que nous avons examinés », a expliqué Igor Soumenkov, l'un des ingénieurs du Kaspersky Lab, sur Securelist

Payload.dll semble être un élément important du programme. Selon l'éditeur russe, il est utilisé pour recevoir des instructions venant de serveurs distants mais aussi pour transmettre des données volées. Et il peut opérer de façon totalement indépendante du reste du programme. C'est important pour diffuser le Trojan à d'autres ordinateurs sous Windows. 

Duqu, sans doute écrit par des équipes séparées

« Compte-tenu de la taille du projet Duqu, il est possible que la création du Framework Duqu ait été réalisée par une équipe totalement différente de celle qui a conçu les pilotes et écrit le code d'infection », a indiqué de son côté Alexander Gostev, expert de Kaspersky. « En considérant le niveau de personnalisation très élevé et la particularité avec laquelle le langage a été créé, il est également possible qu'il ait été fait non seulement pour empêcher des intervenants extérieurs de comprendre l'opération de cyberespionnage et les interactions avec les C&Cs, mais aussi pour le tenir à l'écart des autres équipes Duqu chargées d'écrire les autres parties du programme malveillant. »

Duqu a été découvert par les chercheurs en sécurité de l'Université de Budapest en septembre dernier. Son origine, sa conception et ses visées importent parce qu'il est plausible qu'il soit lié au malware Stuxnet que l'on soupçonne d'avoir été créé pour interrompre les systèmes SCADA (Supervisory Control And Data Acquisition) connectés au programme d'enrichissement nucléaire iranien. 

Les connexions entre les deux malwares sont discutables, mais étranges, si l'on tient compte tenu du fait qu'ils utilisent des éléments communs. Ce qui est clair, c'est que Duqu est suffisamment sophistiqué pour résulter du travail d'une équipe compétente et bien équipée qui essaie de brouiller les pistes. En cela, ils ont en partie échoué. Plus un logiciel est sophistiqué, plus sa structure et sa conception apparaissent inhabituelle, plus il attire l'attention sur lui et éveille les soupçons. Kaspersky fait maintenant appel aux programmeurs pour l'aider à identifier le langage de programmation utilisé pour créer le framework Duqu.

COMMENTAIRES de l'ARTICLE2

le 14/03/2012 à 17h17 par Jool (Membre) :

Probablement du OCaml ou de l'Haskell pour faire dans le "haut niveau".

Signaler un abus

le 11/03/2012 à 12h07 par Kilimandjaro (Membre) :

Que d'histoires pour un peu de BASIC... ;)

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité