Abo
  • Services:
Anzeige
Disassemblierter Duqu-Code
Disassemblierter Duqu-Code (Bild: Kaspersky)

Trojaner: Duqu-Code erweist sich als "Oldschool"

Disassemblierter Duqu-Code
Disassemblierter Duqu-Code (Bild: Kaspersky)

Eine erste Analyse des Trojaners Duqu ergab, dass die Schadsoftware weitgehend mit C++ programmiert wurde - bis auf das C-&-C-Modul. Zunächst vermuteten Sicherheitsexperten eine bislang unbekannte Programmiersprache, bis die Community bei der Entschlüsselung mithalf.

Die Sicherheitsunternehmen Kaspersky und Symantec hatten monatelang versucht, dem auf Stuxnet basierenden Trojaner Duqu sein Geheimnis zu entlocken. Denn große Teile des etwa 500 KByte großen Trojaners waren zwar in der Programmiersprache C++ geschrieben. Ein kleiner Teil aber, der für die Verbindung zum Command-&-Control-Server zuständig ist, ließ sich partout nicht entschlüsseln.

Anzeige
  • Disassemblierter Duqu-Code
  • Disassemblierter OO-C-Beispielcode
Disassemblierter Duqu-Code

Nicht identifizierbare Programmiersprache

"Die Sprache ist definitiv nicht C++, Objective C, Java, Python, Ada, Lua oder eine der anderen vielen Sprachen, auf denen wir den Trojaner untersucht haben", hatte Kasperskys Sicherheitsexperte Igor Soumenkov noch am 7. März 2012 geschrieben. Es handele sich womöglich um eine bislang unbekannte Programmiersprache.

Jetzt hat Soumenkov mit Hilfe der Community die unbekannte Programmiersprache identifiziert, die allerdings gar nicht so unbekannt ist - sie wird nur fast nicht mehr verwendet. Daraus schließen die Sicherheitsexperten, dass der Programmierer nicht nur ein Experte, sondern auch ein erfahrener Entwickler ist. Denn das Modul für die Kommunikation wurde in Object Oriented C (OO C) - C mit einem eigenen Dialekt erstellt. OO C sei populär gewesen, als viele Entwickler von Assembler zu C wechselten, aber um C++ noch einen großen Bogen machten, sagte Vitaly Kamluk von Kaspersky.

Läuft zuverlässig und überall

Solcher Code findet sich in modernen Trojanern und Viren nicht. "Die Entwickler wollten sicherstellen, dass der Trojaner zuverlässig und überall läuft", resümiert Kamluk. Die Kaspersky-Mitarbeiter gehen davon aus, dass mehr als eine Person an der Entwicklung von Duqu beteiligt war.

Compiler unterstützen OO C mit entsprechenden Schaltern weiterhin, etwa Microsofts Visual Studio Compiler 2008, mit dem mutmaßlich auch der gesamte Duqu-Trojaner kompiliert wurde. Mit den Schaltern 01 und Ob1 konnten die Entwickler bei Kaspersky einen annähernd ähnlichen Code generieren wie die im Duqu-Trojaner verpackten Payload.

Duqu soll Daten stehlen

Duqu ist für das Stehlen von Daten konzipiert worden. Einer Analyse von Symantec zufolge basiert Duqu auf Stuxnet und das Sicherheitsunternehmen ist sich sicher, dass die Entwickler von Duqu Zugriff auf den Quelltext von Stuxnet hatten, nicht nur auf dessen ausführbare Dateien. Der Windows-Trojaner verhält sich wie ein klassischer Botnet-Trojaner: Dateien werden vom kompromittierten PC verschlüsselt an einen Command-&-Control-Server verschickt, zusätzlich wird andere Malware installiert, die Tastatureingaben abfangen kann.

Als Botnet-Trojaner war Duqu jedoch wohl nicht gedacht, denn das Programm verbreitet sich nicht selbst weiter und deinstalliert sich nach 36 Tagen selbst. Die von Duqu erbeuteten Daten werden unter anderem in Dateien verpackt, die wie JPEG-Bilder aussehen, eine Verschleierungstechnik, die in herkömmlichen Trojanern nicht vorkommt. Duqu installiert mit einem von Symantec gestohlenen und inzwischen widerrufenen Zertifikat einen Treiber, über den weitere Systemkomponenten nachinstalliert werden können.

Verwandtschaft zu Stuxnet

Symantec zufolge soll die Malware unter anderem bei Organisationen gefunden worden sein, die "in Verbindung mit der Herstellung von industriellen Anlagensteuerungen stehen", und damit mit Stuxnet, das gezielt nach Software zur Steuerung von Scada-Industrieanlagen suchte. Stuxnet nutzte zur Verbreitung vier bis dahin unbekannte Windows-Lücken aus.


eye home zur Startseite
petra-verheugen 24. Mär 2012

"....Die Programmierung sei ausgeklügelt und in komplexer Malware zu finden, die...

wth 22. Mär 2012

Er meint vermutlich: http://ooc-coding.sourceforge.net/

fool 22. Mär 2012

Och, irgendjemand wird sicher mal eine Sprache namens OOC gebastelt haben. Gibt ja...

fool 22. Mär 2012

Naja, dem "Rest der Welt" würde es vielleicht gar nicht schaden, auch mal mit Assembler...

wth 21. Mär 2012

Nicht unbedingt. Ich kenne solche Überlegungen aus anderen Motiven und tatsächlich macht...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. Dataport - Anstalt des öffentlichen Rechts, Altenholz / Kiel
  3. SCA Schucker GmbH & Co. KG, Bretten
  4. operational services GmbH & Co. KG, Sindelfingen


Anzeige
Top-Angebote
  1. (u. a. Samsung 960 Evo 500 GB 229,90€, Evo 1 TB 429,00€)
  2. (u. a. AOC AG271QG LED-Monitor 599,00€, Asus ROG Swift PG348Q 999,00€)
  3. (u. a. Cooler Master 500W 34,99€, 600W 44,99€, Sharkoon TG5 59,90€)

Folgen Sie uns
       


  1. Umweltbundesamt

    Software-Updates für Diesel reichen nicht

  2. Acer Nitro 5 Spin

    Auf dem Gaming-Convertible spielen und zeichnen

  3. Galaxy Note 8 im Hands on

    Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  4. Microsoft

    Git-Umzug von Windows-Team abgeschlossen

  5. Play Store

    Google entfernt 500 Android-Apps mit 100 Millionen Downloads

  6. DreamHost

    US-Regierung will nun doch keine Daten von Trump-Gegnern

  7. Project Brainwave

    Microsoft beschleunigt KI-Technik mit Cloud-FPGAs

  8. Microsoft

    Im Windows Store gibt es viele illegale Streaming-Apps

  9. Alpha-One

    Lamborghini-Smartphone für über 2.000 Euro vorgestellt

  10. Wireless-AC 9560

    Intel packt WLAN in den Prozessor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Anschlag in Charlottesville: Nazis raus - aber nur aus PR-Gründen
Nach Anschlag in Charlottesville
Nazis raus - aber nur aus PR-Gründen
  1. Bundesinnenministerium Neues Online-Bürgerportal kostet 500 Millionen Euro
  2. EU-Transparenz EuGH bekräftigt nachträglichen Zugang zu Gerichtsakten
  3. Rücknahmepflicht Elektronikschrott wird kaum zurückgegeben

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Vega 64 Strix ausprobiert Asus' Radeon macht fast alles besser
  2. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  3. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte

Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

  1. Re: Nur für Rechtshänder?

    quasides | 03:01

  2. Re: Hoffentlich läufts in 1080p auf Raven-Ridge

    LinuxMcBook | 02:49

  3. Re: Umweltpremie für Touareg - ein Witz

    ArcherV | 02:43

  4. Liquid Metal???

    skyynet | 02:15

  5. Re: vom Autoschrauber zum Softwarepfuscher

    quasides | 01:59


  1. 17:51

  2. 17:08

  3. 17:00

  4. 16:55

  5. 16:38

  6. 16:08

  7. 15:54

  8. 14:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel