En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 29/03/2017
    Documation 2017, les 29 et 30 mars

    Documation 2017 fera la part belle au « Digital Workplace »,selon l’angle de la sécurité, de la mobilité, du…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site catalogue pour un traiteur
    < 10 000 €
    > En savoir plus
  • Création d'un site E-Commerce dans la vente de produits de beauté
    < 5 000 €
    > En savoir plus
  • Création d'un site E-Commerce dans la vente d'articles de sport
    < 3 000 €
    > En savoir plus
Data4_Mars 2017_Leaderboard 1 v2

Le virus DuQu serait programmé avec un langage inconnu

Elo_documation2017_pave

C'est le gros buzz du moment. Le cheval de Troie DuQu, dont il est communément admis qu'il dérive de Stuxnet, un virus qui a beaucoup fait parler de lui en s'attaquant, entre autres, aux centrales nucléaires iraniennes, aurait été écrit avec un langage inconnu, peut-être spécialement dédié à la création de malwares.

Telle est l'opinion des experts de Kaspersky qui ont analysé la bête et pratiqué du reverse engineering dans les règles de l'art. A la suite de quoi ils ont publié un billet de blog très technique et très intéressant.

Selon les analyses, la grande majorité du code est écrite en C++. 60 classes ont même été identifiées. Mais dans le code, apparaît une couche logicielle qui n'est pas du C++, mais un langage pour l'instant non identifié, que les analystes ont baptisé le framework DuQu.

Le framework DuQu

Le code généré par ce framework a des caractéristiques bien à lui :

  • Entièrement objet
  • Les tables de pointeurs de fonctions (l'équivalent des fonctions virtuelles de C++) sont placées dans les instances de classes et peuvent être modifiées après construction
  • Il n'y a pas de distinction entre les classes utilitaires et les classes utilisateur
  • Il n'y a pas de runtime. Les API Windows sont invoquées directement.

Ont encore été remarquées des choses peu banales. Ainsi les tables de fonctions ne sont pas placées à un offset constant dans les instances d'objet. Parfois l'offset est nul, parfois non. Autre chose inédite, le pointeur this n'est pas placé systématiquement sur la pile ou dans un seul et même registre, mais il peut être placé certes sur la pile, mais aussi dans n'importe quel registre.

Pour les analystes de Kaspersky, ce code n'est généré par aucun compilateur connu d'eux, que ce soit en C, C++, ou même Objective-C. Le billet se conclut par un appel à la communauté des programmeurs pour identifier le langage et/ou le compilateur.

Une des hypothèses émises par les programmeurs qui ont déjà donné un avis, est qu'un  compilateur que l'on trouvait sur les vieux  IBM OS400 SYS38, ou même des systèmes sys36 plus anciens pourrait avoir été utilisé.

Cet intéressant billet est à cette adresse : www.securelist.com

Auteur : Frédéric Mazué

Notez cet article

Laisser un commentaire

Maîtriser l’Hybrid IT

Découvrez comment non seulement maîtriser et optimiser votre Hybrid IT entre cloud public, cloud privé et informatique traditionnelle.

Télécharger l'Etude l’étude DCD intelligence, avec Data4

Sondage

Vos projets Démat et GED en 2017

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • Décompilation et analyse de logiciel

    Droits et risques Le reverse engineering (rétro-ingénierie, ingénierie inversée ou inverse, rétro-conception ou encore ingénierie…

  • EDITO n°15

    Recrutons :  Dirigeant (France) - H/F, CDD 5 ans,  Poste basé à Paris 8e, à pourvoir…

Témoignages
Juridique
  • Privacy Shield : la CNIL a toujours des interrogations sur la collecte de masse d'informations

    Depuis la fin de l'accord Safe Harbor, tous les échanges de données entre l'Europe est…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Modèle de sécurité Zéro confiance : un excellent moyen de renforcer la protection des données

    « Les utilisateurs à l’intérieur d’un réseau ne sont pas plus dignes de confiance que les…

    > En savoir plus...
Etudes/Enquêtes
  • Infographie Sécurité : enjeux et solutions choisies par les décisionnaires

    Quelles sont les priorités pour 2017 ? La protection contre les malwares et les ransomwares reste…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Schneider_BackUPSApc_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Guide pratique Advanced Thread Protection (ATP)

    > Voir le livre
  • Un regard neuf sur la gestion des coûts de stockage des données archivées

    > Voir le livre
Paessler_TREX_skycraper