En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...
Appels d'offres en cours
  • Développement d'un Plugin pour la plateforme d'apprentissage Moodle
    A déterminer €
    > En savoir plus
  • Création d'un site eCommerce pour la vente de costumes sur mesure
    A déterminer €
    > En savoir plus
  • Création d'un site eCommerce pour la vente d'édition de revues et périodiques
    < 3 000 €
    > En savoir plus
Tessi_Cetia_leaderboard

Le virus DuQu serait programmé avec un langage inconnu

GlobalK_Lean_pave

C'est le gros buzz du moment. Le cheval de Troie DuQu, dont il est communément admis qu'il dérive de Stuxnet, un virus qui a beaucoup fait parler de lui en s'attaquant, entre autres, aux centrales nucléaires iraniennes, aurait été écrit avec un langage inconnu, peut-être spécialement dédié à la création de malwares.

Telle est l'opinion des experts de Kaspersky qui ont analysé la bête et pratiqué du reverse engineering dans les règles de l'art. A la suite de quoi ils ont publié un billet de blog très technique et très intéressant.

Selon les analyses, la grande majorité du code est écrite en C++. 60 classes ont même été identifiées. Mais dans le code, apparaît une couche logicielle qui n'est pas du C++, mais un langage pour l'instant non identifié, que les analystes ont baptisé le framework DuQu.

Le framework DuQu

Le code généré par ce framework a des caractéristiques bien à lui :

  • Entièrement objet
  • Les tables de pointeurs de fonctions (l'équivalent des fonctions virtuelles de C++) sont placées dans les instances de classes et peuvent être modifiées après construction
  • Il n'y a pas de distinction entre les classes utilitaires et les classes utilisateur
  • Il n'y a pas de runtime. Les API Windows sont invoquées directement.

Ont encore été remarquées des choses peu banales. Ainsi les tables de fonctions ne sont pas placées à un offset constant dans les instances d'objet. Parfois l'offset est nul, parfois non. Autre chose inédite, le pointeur this n'est pas placé systématiquement sur la pile ou dans un seul et même registre, mais il peut être placé certes sur la pile, mais aussi dans n'importe quel registre.

Pour les analystes de Kaspersky, ce code n'est généré par aucun compilateur connu d'eux, que ce soit en C, C++, ou même Objective-C. Le billet se conclut par un appel à la communauté des programmeurs pour identifier le langage et/ou le compilateur.

Une des hypothèses émises par les programmeurs qui ont déjà donné un avis, est qu'un  compilateur que l'on trouvait sur les vieux  IBM OS400 SYS38, ou même des systèmes sys36 plus anciens pourrait avoir été utilisé.

Cet intéressant billet est à cette adresse : www.securelist.com

Auteur : Frédéric Mazué

Le virus DuQu serait programmé avec un langage inconnu
Notez cet article

Laisser un commentaire

GDPR VS ISO

L’apport de la gestion des accès à privilèges (PAM) à la conformité réglementaire.Une cartographie comparative. Lire le livre blanc

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • Le serveur entre dans l’ère du SD-DC

    À l’ère du SD-DC (software-defined datacenter), les serveurs capables de reconfiguration à la volée qui…

  • EDITO N°18

    La stratégie de l’extincteur Les feuilletons dramatiques de ces derniers mois ont été notamment les…

Témoignages
Juridique
  • Sécurité des données clients : la CNIL inflige une sanction de 100 000 € à Darty

    La CNIL prononce une sanction de 100 000 euros à l’encontre de Darty pour ne pas…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expertise - "Les technologies émergentes vont révolutionner la prestation de services online", Rajasekar Sekhar Reddy - Wipro

    Cet article de Rajasekar Sekhar Reddy, Architecte Solution Principal, CTO Office chez Wipro, explique aux…

    > En savoir plus...
Etudes/Enquêtes
  • Panorama de la cybercriminalité 2017 : ransomwares, logiciels légitimes infectés et attaques Cloud

    Le jeudi 18 janvier, le Clusif, Club de la sécurité de l'information français, présentait son…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Primobox_Demat RH_skycraper 1
Agenda
livres blancs
Les Livres
Blancs
  • Préparation au règlement général sur la protection des données (RGPD)

    > Voir le livre
  • Adopter un Plan de Continuité d’Activité (PCA)

    > Voir le livre
Ixia_RGPD_skycraper