CERT-XMCO : Un module de DuQu aurait été écrit dans un langage de programmation inconnu
mars 2012 par Marc Jacob
* Researchers Seek Help in Solving DuQu Mystery Language
– Date : 13 Mars 2012
– Criticité : Moyenne
– Description : De nombreux chercheurs se sont penchés sur le code du malware DuQu (voir CXA-2011-1779, CXA-2012-0012). Cependant un des modules reste un mystère et l’équipe de Kaspersky vient de demander de l’aide aux chercheurs du monde entier pour élucider cette énigme.
Le module en question permet au malware de communiquer avec un serveur de contrôle. Lors du "reverse engineering" de ce module, les chercheurs de Kaspersky ne sont pas parvenus à identifier le langage de programmation utilisé pour le développer. Alors que les autres parties du code de DuQu sont développées en C++ et compilées sous Visual Studio C++ 2008, ce module semble avoir été programmé dans un langage peu connu ou spécifique à un domaine.
Le laboratoire Kaspersky espère qu’au sein de la communauté de programmeur, quelqu’un reconnaisse le langage de programmation utilisé.
Au vu de la taille du code de DuQu, il est possible que le module ait été développé par un autre groupe que celui qui a développé le code principal du malware.
Aux dernières nouvelles, il se pourrait que le module en question ait été développé en COS (C Object System), un framework développé en Suisse au CERN par le département "Accelerator Technologies Department" pour simplifier le développement de logiciel scientifique. Cependant, de très nombreux internautes ont répondu à l’invitation de Kaspersky, et de nombreuses autres propositions ont été faites quant au framework de développement utilisé. Pour le moment, aucune certitude ne semble avoir émergé.
– Référence :
http://www.wired.com/threatlevel/2012/03/duqu-mystery-language/
http://www.securelist.com/en/blog/667/The_Mystery_of_the_Duqu_Framework
http://www.mediafire.com/?yvm5kainmi6brye
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1779
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0012
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0390