Anti-malwareonderzoekers van Kaspersky Lab hebben ontdekt dat een deel van het Trojaanse paard Duqu is geschreven in een onbekende programmeertaal. Als iemand binnen de programmeursgemeenschap deze taal kent vraagt Kaspersky Lab of die contact wil opnemen met het onderzoeksteam.
Duqu is een geavanceerd Trojaans paard, gemaakt door dezelfde mensen die de beruchte Stuxnet-worm hebben ontwikkeld. Het belangrijkste doel van Duqu is het fungeren als een ‘achterdeur’, waardoor diefstal van informatie mogelijk wordt. Het Trojaanse paard heeft vooral slachtoffers gemaakt in Iran, volgens de Kaspersky-experts met als doel informatie te stelen over industriële aansturingssystemen en inlichtingen te verzamelen over commerciële relaties van Iraanse organisaties.
Een groot onopgelost raadsel was tot nu toe hoe Duqu na een infectie communiceerde met de zogeheten Command & Control servers om gestolen informatie door te geven. Uitgebreide analyse van Kaspersky Lab heeft aan het licht gebracht dat een specifieke sectie binnen de Duqu-software daarvoor verantwoordelijk is.
Deze sectie, het ‘Duqu Framework’, blijkt geschreven te zijn in een tot nu toe onbekende en zeer gespecialiseerde programmeertaal. Volgens Alexander Gostev, Chief Security Experts van Kaspersky Lab, maakt dit duidelijk dat de ontwikkelaars van Duqu zeer kundige programmeurs zijn en dat er ook veel geld en werk aan dit project moet zijn besteed.
Kaspersky Lab doet nu een beroep op de programmeursgemeenschap met de vraag wie het Duqu Framework, de programmeertaal of de toolkit herkent waarmee vergelijkbare code kan worden gegenereerd. Kaspersky Lab vraagt dan contact op te nemen met zijn experts: stopduqu@kaspersky.com.
Voorbeeld van de code.
