Der so genannte Duqu-Trojaner stellte die Fachwelt vor immer neue Rätsel, denn der Schädling kommunizierte mit seinem Command-and-Control-Server (C&C), sobald er eine Opfermaschine infiziert hatte. [...]
Das für die Interaktion mit dem C&C verantwortliche Modul von Duqu ist Teil seiner Payload-DLL. Kaspersky-Experten konnten nun nach eingehender Analyse der Payload-DLL feststellen, dass der Kommunikationsteil in einer bislang unbekannten Programmiersprache verfasst war. Sie nannten diesen unbekannten Bereich »Duqu Framework«.
Im Gegensatz zu allen anderen Bereichen ist das Duqu-Framework nicht in C++ geschrieben und nicht mit Visual C++ 2008 von Microsoft kompiliert worden. Es ist möglich, dass die Autoren ein selbst erstelltes Framework genutzt haben, um einen dazwischenliegenden C-Code zu generieren, oder sie nutzten eine komplett andere Programmiersprache. Die Kaspersky-Analysen haben jedenfalls ergeben, dass die Sprache objektorientiert ist und mit einem eigenen Set an relevanten Aktivitäten arbeitet, die für Netzwerkapplikationen geeignet sind.
Die Sprache im Duqu-Framework ist hoch spezialisiert. Es ermöglicht der Payload-DLL, unabhängig von anderen Duqu-Modulen zu arbeiten und verbindet sich mit seinem C&C-Server über mehrere Wege inklusive Windows HTTP, Netzwerk und Proxy-Server.
Be the first to comment