Kaspersky Lab

 

Communiqués de Presse

20.03.2012

Les experts de Kaspersky Lab identifient le mystérieux langage du cheval de Troie Duqu et remercient la communauté des programmeurs pour son concours

Rueil Malmaison – le 20 mars 2012, Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique, avait récemment lancé un appel à la communauté des programmeurs pour l’aider à résoudre l’un des principaux mystères du cheval de Troie Duqu, à savoir l’identification d’un bloc de code inconnu situé dans une partie de la charge d’attaque du programme malveillant (Payload DLL).

 

Cette portion de code, dénommée « Duqu Framework », a pour rôle de communiquer avec les serveurs de commande et de contrôle (C&C) du cheval de Troie une fois que celui-ci a infecté une machine.

 

Après avoir reçu une incroyable quantité de précieux commentaires de la communauté des programmeurs, les experts de Kaspersky Lab ont pu affirmer avec un degré élevé de certitude que Duqu Framework se compose de code source en langage C, compilé avec Microsoft Visual Studio 2008 et des options spéciales pour optimiser la taille du code et son expansion en ligne. Le code a été également écrit avec une extension personnalisée permettant de combiner la programmation orientée objet avec le langage C (une combinaison généralement connue sous l’appellation « OO C »).

 

Ce type de programmation « maison » très évoluée se rencontre plus couramment dans des projets complexes de logiciels « légitimes », plutôt que dans des malwares.

 

Si aucune explication ne saute aux yeux concernant l’utilisation d’OO C au lieu de C++

pour Duqu Framework, il est possible d’en imaginer raisonnablement deux :

·         Meilleure maîtrise du code : lors de la publication de C++, de nombreux programmeurs de la vieille école ont préféré s’en tenir à l’écart car ils ne faisaient pas confiance à sa méthode d’allocation de la mémoire ainsi qu’à d’autres fonctions obscures du langage, risquant de causer indirectement l’exécution de code. OO C fournirait un cadre plus fiable, moins propice aux comportements imprévus.

·         Extrême portabilité : il y a 10 à 12 ans, C++ n’était pas encore entièrement normalisé et il était possible que du code C++ ne soit pas compatible avec tous les compilateurs. L’utilisation de C offre en revanche aux programmeurs une extrême portabilité puisque le langage peut fonctionner sur toute plate-forme existante, à tout moment, sans les limites liées à C++.

« Ces deux raisons donnent à penser que le code a été écrit par une équipe de développeurs chevronnés “de la vieille école”, souhaitant créer une plate-forme personnalisée pour le lancement d’une attaque d’une grande souplesse et adaptabilité. Ce code pourrait avoir été repris de précédentes cyberattaques et adapté de façon à s’intégrer au cheval de Troie Duqu », commente Igor Soumenkov, expert des malwares chez Kaspersky Lab. « Cependant, une chose est sûre : ces techniques sont normalement l’apanage de programmeurs d’élite et ne se rencontrent aujourd’hui quasiment jamais dans les malwares en général. »

 

Kaspersky Lab souhaite remercier tous ceux qui ont contribué à l’identification de ce code inconnu.

 

La version complète de l’étude rédigée par Igor Soumenkov est accessible sur le site http://www.viruslist.fr.

Cette analyse comprend les détails techniques du « framework », les méthodes d’identification ainsi que les précieux commentaires reçus par Kaspersky Lab et qui ont permis de résoudre cette pièce du puzzle Duqu.

 

 

Salle de presse virtuelle Kaspersky Lab

Kaspersky Lab a lancé une nouvelle salle de presse en ligne, Kaspersky Lab Newsroom Europe (http://newsroom.kaspersky.eu). Destinée à l’ensemble des journalistes européens, celle-ci est spécialement conçue pour répondre aux demandes des médias. Elle a pour objectif de faciliter la recherche d’informations sur l’entreprise et ses produits, de mettre à disposition des chiffres, des contenus éditoriaux, des images, des vidéos et des fichiers audio.

 

 

A propos de Kaspersky Lab

Fondé en 1997, Kaspersky Lab, éditeur international de solutions et de services de sécurité, protège plus de 300 millions d’utilisateurs à travers le monde.

Ses solutions, destinées à un usage privé et professionnel, s'appuient sur le laboratoire où travaillent de nombreux « malware-doctors » parmi les plus réputés à l’échelle internationale.

24 h sur 24 h, 7 jours sur 7, les experts de Kaspersky Lab analysent, traitent les codes malicieux et développent les antidotes proposés aux utilisateurs via des mises à jour toutes les 45 minutes.

Les technologies développées par Kaspersky Lab assurent la protection contre les programmes malveillants et la sécurité totale des informations, qu’elles soient stockées sur serveurs, postes de travail ou encore appareils mobiles.

Les laboratoires de tests indépendants, qui mesurent les performances des technologies disponibles sur le marché, ont confirmé à maintes occasions la supériorité des solutions conçues par Kaspersky Lab, retenues par plus de 120 acteurs majeurs de la sécurité informatique.

En 10 ans, Kaspersky Lab est devenu un leader mondial, présent dans plus de 60 pays. Kaspersky Lab compte près de 2000 employés à travers le monde, dont plus de 700 chercheurs et développeurs, et dispose de bureaux en Russie, en France, en Allemagne, en Australie, au Canada, en Chine, en Corée du Sud, en Espagne, aux Etats-Unis, en Grande-Bretagne, en Italie, au Japon, aux Pays-Bas, en Pologne, en Suède…

Pour plus d’informations concernant Kaspersky Lab : http://www.kaspersky.fr

Pour plus d’informations sur l’actualité virale : http://www.viruslist.fr

 

Contacts presse :

Agence onechocolate

Joëlle Rousseau ou Morgane Rybka

joeller@onechocolatecomms.fr ; morganer@onechocolatecomms.fr

Tél. +33 1 41 31 75 07/06

 

 

 

Contact pour la Presse

Morgane Rybka

Envoyer un e-mail 

Tel. +33-(0)1 41 31 75 06
Fax +33-(0)1 41 03 09 91 

Télécharger

Kaspersky Lab on the Web

Virus Analyst Blogs