Gemeinschaftserfolg

Rätsel um Duqu-Sprache gelöst

Mittwoch, 21.03.2012 | 15:19 von Frank Ziemann
Ereignis-gesteuertes Duqu-Framework
Vergrößern Ereignis-gesteuertes Duqu-Framework
© Kaspersky Lab
Eine in dem als Stuxnet-Abkömmling angesehenen Schädling Duqu entdeckte, vermeintlich unbekannte Programmiersprache ist identifiziert worden. Ein öffentlicher Aufruf eines Antivirusherstellers bei der Suche nach der Lösung mitzuhelfen hat Erfolg gebracht.
Das Trojanische Pferd Duqu soll nach einer Symantec-Analyse in Teilen auf den Quelltexten des Sabotage-Wurms Stuxnet basieren. Der größte Teil der ausführbaren Datei (EXE) des Schädlings sieht wie ein normales Visual-Studio-Projekt aus. Doch die Funktionen zur Kommunikation mit den Botnetz-Mutterschiffen (C&C-Server) haben den Antivirusspezialisten einiges Kopfzerbrechen bereitet. Die verwendete objektorientierte Programmiersprache konnte nicht identifiziert werden.

Die Malware-Experten bei Kaspersky Lab haben daher Anfang März einen öffentlichen Aufruf zur Mitwirkung  gestartet, um das Rätsel zu knacken. Zahlreiche Vorschläge sind seitdem eingegangen, darunter LISP, Forth und Delphi. Die Lösung scheint schließlich "OO C" (Object Oriented C) zu lauten. OO C stammt aus einer Zeit, bevor C++ aufkam, das "Old School" C-Programmierer nicht mochten. Es wird von Microsofts VisualC-Compiler immer noch unterstützt.

Kaspersky Labs' Igor Soumenkov hat mit Visual Studio 2008 und den Compiler-Optionen /O1 sowie /Ob1 praktisch den gleichen Code erzeugen können, wie er in Duqu zu finden ist. Somit ist dieses Rätsel um das so genannte "Duqu-Framework" seiner Ansicht nach mit hoher Wahrscheinlichkeit gelöst.

Offen bleibt weiterhin die Frage, wer Duqu (und Stuxnet) programmiert oder die Entwicklung in Auftrag gegeben hat. Als wahrscheinlichste Spekulation gelten US-amerikanische Dienste, womöglich mit israelischer Mithilfe. Duqu und Stuxnet sind jedenfalls nicht Werke der Malware-Programmierer, die für die sonst üblichen Schädlinge verantwortlich sind.

Mittwoch, 21.03.2012 | 15:19 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
1404729