En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Appels d'offres en cours
agenda
Agenda
Solutions IT
  • 03/06/2015
    TOP DSI

    Les rencontres d’affaires entre décideurs et experts en systèmes d’informations. Rendez-vous d’affaires en one to one…

    en détail En détail...
  • 03/06/2015
    TOP DAF

    Un concept unique de mise en relation B to B pour : Développer un réseau…

    en détail En détail...
Wacom_IT_Solutions_Banner_728x90px

Le virus DuQu serait programmé avec un langage inconnu

Wacom_IT_Solutions_Banner_300x250px

C'est le gros buzz du moment. Le cheval de Troie DuQu, dont il est communément admis qu'il dérive de Stuxnet, un virus qui a beaucoup fait parler de lui en s'attaquant, entre autres, aux centrales nucléaires iraniennes, aurait été écrit avec un langage inconnu, peut-être spécialement dédié à la création de malwares.

Telle est l'opinion des experts de Kaspersky qui ont analysé la bête et pratiqué du reverse engineering dans les règles de l'art. A la suite de quoi ils ont publié un billet de blog très technique et très intéressant.

Selon les analyses, la grande majorité du code est écrite en C++. 60 classes ont même été identifiées. Mais dans le code, apparaît une couche logicielle qui n'est pas du C++, mais un langage pour l'instant non identifié, que les analystes ont baptisé le framework DuQu.

Le framework DuQu

Le code généré par ce framework a des caractéristiques bien à lui :

  • Entièrement objet
  • Les tables de pointeurs de fonctions (l'équivalent des fonctions virtuelles de C++) sont placées dans les instances de classes et peuvent être modifiées après construction
  • Il n'y a pas de distinction entre les classes utilitaires et les classes utilisateur
  • Il n'y a pas de runtime. Les API Windows sont invoquées directement.

Ont encore été remarquées des choses peu banales. Ainsi les tables de fonctions ne sont pas placées à un offset constant dans les instances d'objet. Parfois l'offset est nul, parfois non. Autre chose inédite, le pointeur this n'est pas placé systématiquement sur la pile ou dans un seul et même registre, mais il peut être placé certes sur la pile, mais aussi dans n'importe quel registre.

Pour les analystes de Kaspersky, ce code n'est généré par aucun compilateur connu d'eux, que ce soit en C, C++, ou même Objective-C. Le billet se conclut par un appel à la communauté des programmeurs pour identifier le langage et/ou le compilateur.

Une des hypothèses émises par les programmeurs qui ont déjà donné un avis, est qu'un  compilateur que l'on trouvait sur les vieux  IBM OS400 SYS38, ou même des systèmes sys36 plus anciens pourrait avoir été utilisé.

Cet intéressant billet est à cette adresse : www.securelist.com

Auteur : Frédéric Mazué

Les défis de la gestion du cycle de vie des applications

Les logiciels doivent évoluer aussi rapidement que les organisations peuvent les développer. La gestion du cycle de vie des applications (ALM) permet d’accélérer l’innovation tout en préservant la qualité, la sécurité d’exploitation et la conformité.

Lire le livre blanc
La reconnaissance vocale, un enjeu pour votre entreprise

L’adoption de la reconnaissance vocale permet notamment de réduire le temps passé à remplir des formulaires. Testez la technologie.

Plus d’info
Juridique
  • Les véritables risques attachés à la contractualisation numérique

    Le point d'Isabelle Renard, avocat au barreau de Paris, docteur ingénieurDans la continuité de la…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Marketing RH : et si on prenait les collaborateurs pour des clients ?

    Voici un avis d’expert de Thibaut Théry, diplômé de l'ESSCA en management des R, qui…

    > En savoir plus...
Etudes/Enquêtes
  • Protection des données dans le Cloud : santé et finance en avance

    Le nouveau rapport mondial de CipherCloud sur la sécurité des données dans le Cloud montre…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
gk-skycraper
Agenda
livres blancs
Les Livres
Blancs
  • L’accélération de l’innovation est rendu possible grâce à des logiciels pour applications et systèmes embarqués,…

    > Voir le livre
  • iTrust, audit en sécurité et éditeur de la solution iKare , dévoile les 10 principales…

    > Voir le livre
cryptolog-skycrapper
x
Newsletter Solutions numériques

Restez informé. L’abonnement à
la newsletter est gratuit.

Inscrivez-vous