Expertos antimalware de Kaspersky Lab descubrieron que parte del sofisticado troyano Duqu, cuyos creadores son los mismos que los del gusano Stuxnet, se escribió en un lenguaje de programación hasta ahora desconocido.
La finalidad principal de Duqu era actuar como backdoor en el sistema para facilitar el robo de información privada y se detectó por primera vez en septiembre de 2011, pero según datos de Kaspersky Lab, su primer rastro relacionado con el malware se remonta a agosto de 2007.
Los expertos de la compañía han captado más de una docena de incidentes que involucran a Duqu, y la gran mayoría de las víctimas están localizadas en Irán. Un análisis de sus actividades muestra que el principal objetivo de los ataques era robar información sobre los sistemas de control utilizados en varias industrias, así como la recogida de información acerca de las relaciones comerciales de una amplia gama de organizaciones iraníes
El gran misterio sin resolver del troyano Duqu se refiere a cómo el programa malicioso se comunicaba con sus servidores de Comando y Control (C&C) una vez que infectaban la máquina de la víctima. El módulo de Duqu responsable de la interacción con el servidor C&C es parte de su Payload DLL (efecto producido por el virus).
Después de un análisis exhaustivo del Payload DLL, los expertos de Kaspersky Lab han descubierto que la sección específica interna que se comunica exclusivamente con el C&C, ha sido escrita en un lenguaje de programación desconocido. Los expertos de Kaspersky Lab han nombrado a esta sección desconocida “Duqu Framework”.
A diferencia del resto de Duqu, Duqu Framework no está escrito en C++ y no está compilado con Microsoft Visual C++ 2008. Es posible que sus autores utilicen un in-house framework para generar un código C intermedio, o que empleen otro lenguaje de programación completamente diferente. Sin embargo, los investigadores de Kaspersky Lab han confirmado que el lenguaje está orientado a objetos y realiza su propio conjunto de actividades relacionadas y adecuadas para aplicaciones de red.
Mayor información en www.securelist.com/en
