Kaspersky descobre linguagem usada em vírus ‘misterioso’

Após pedir ajuda à comunidade de programadores, empresa russa diz que Duqu usa linguagem pouco comum e é ‘peça única’.

O uso de uma linguagem de programação incomum para criar parte do trojan Duqu, uma ferramenta de espionagem que no ano passado atraiu muita atenção por sua semelhança com o Stuxnet, indica que ele pode ter sido escrito por programadores experientes, disse um pesquisador de segurança da Kaspersky Labs nesta segunda (19).

Em um post no blog da empresa, o pesquisador Igor Soumenkov disse que componente de comando e controle (C&C) do Duqu parece ter sido desenvolvido com Object Oriented C (OO C), uma extensão arcaica personalizada para a linguagem de programação C.

Enquanto a maior parte do Duqu foi escrito na linguagem C++ e compilado com o Microsoft Visual C++ 2008, o módulo de C&C foi escrito em C puro e compilado com Microsoft Visual Studio Compiler 2008 (MSVC 2008), usando duas opções específicas para manter o código pequeno.

A escolha da linguagem sugere que pelo menos alguns desenvolvedores do Duqu começaram a programar em um momento em que o Assembler era a linguagem escolhida e, em seguida, mudaram para C, disse Soumenkov.

“Quando o C++ surgiu, muitos programadores da velha escola preferiram ficar longe por desconfiança”, acrescentou.

O Duqu, um Cavalo de Tróia criado para roubar dados de sistemas de controle industriais, foi descoberto em novembro passado pelo Laboratório de Criptografia e Segurança de Sistemas (CrySys) em Budapeste. O malware atraiu a atenção considerável por causa de semelhanças com o Stuxnet, que sabotou o programa nuclear do Irã em 2010.

Mesmos criadores

Muitos pesquisadores têm especulado que ambos podem ter sido escrito pelos mesmos autores, embora com objetivos um pouco diferentes.

O Stuxnet foi projetado para danificar fisicamente equipamentos de controle industrial, enquanto Duqu foi projetado principalmente para roubar dados desses sistemas, a fim de atacá-los mais tarde.

Apesar de opiniões sobre a gravidade do Duqu variem, muitos pesquisadores consideram o malware um trabalho sofisticado, bem financiado, e, provavelmente, apoiado por algum governo.

No início deste mês, Soumenkov pediu ajuda para identificar arquiteturas, toolkits ou linguagens de programação que poderiam gerar o código do Duqu.

O pedido provocou mais de 200 comentários e mais de 60 e-mails de outros programadores.

Três comentários e dois e-mails, inclusive um de uma fonte anônima, ajudaram a Kaspersky determinar que o código foi desenvolvido usando C puro compilado com o Microsoft Visual Studio Compiler 2008 (MSVC 2008).

“Essas técnicas são normalmente observadas em software profissional e quase nunca nos malwares de hoje”, disse ele. A maneira pela qual o código foi desenvolvido sugere que Duqu, como Stuxnet, é um tipo único de vírus que se destaca como uma pedra preciosa da grande massa de programas toscos que normalmente vemos.”

Fonte: Computerworld (US)

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *