Suchen

Eigene Programmiersprache fürs Malware-Framework Duqu-Trojaner weist Besonderheiten im Quellcode auf

| Redakteur: Stephan Augsten

Der Remote-Access-Trojaner Duqu wurde offenbar in einer speziell angepassten Version der Programmiersprache C geschrieben. Die Malware-Autoren haben hierfür objektorientierte Erweiterungen genutzt, wie Kaspersky Lab herausgefunden hat.

Firmen zum Thema

Code-Fragmente von Duqu weisen auf besonders fähige Programmierer hin.
Code-Fragmente von Duqu weisen auf besonders fähige Programmierer hin.

Sicherheitsforscher des Antivirus-Herstellers Kaspersky Lab glauben, dass Programmierer der alten Schule hinter dem Duqu-Trojaner stecken. Zu diesem Schluss kamen sie, nachdem sie freie Entwickler gebeten hatten, bei der Analyse des Quellcodes zu helfen.

Nach über 200 Rückmeldungen zog eine DLL-Datei die Blicke auf sich: In ihr fand sich ein Code-Block, der scheinbar für die Verbindung mit den Command-and-Control-Servern (C&C-Servern) verantwortlich ist. Kaspersky nennt diesen Bereich „Duqu Framework“, der Bereich weist einige Besonderheiten auf.

Der Kaspersky-Forscher Igor Soumenkov erklärt im Antivirus-Blog Securelist, dass man die fürs Framework verwendete Programmiersprache selbst nach tiefgehender Analyse noch nicht identifizieren könne. „Wir sind aber zu 100 Prozent davon überzeugt, dass sie nicht in Visual C++ geschrieben ist“, stellt der Antivirus-Experte den größten Unterschied zum restlichen Duqu-Code heraus.

Besonderheiten im Duqu-Framework

Es sei nicht einmal auszuschließen, dass die DLL in einer eigenen Programmier- oder gar Assemblersprache entwickelt wurde, so Soumenkov. Allerdings habe es den Anschein, dass der Code mit Visual Studio 2008 und mithilfe spezieller Funktionen zur Komprimierung kompiliert wurde.

Damit liegt für Kaspersky der Schluss nahe, dass als Programmiersprache möglicherweise eine spezielle Version von „C“ zum Einsatz kam. Denn es fanden sich auch objektorientierte Elemente im Quellcode. Bei C handelt es sich eigentlich um eine imperative Sprache, die sich nur mithilfe spezieller Erweiterungen zur objektorientierten Programmierung nutzen lässt. Man spricht dann auch von „OO C“.

Unabhängig von der Programmiersprache wird damit eines deutlich: Hinter Duqu stecken keine Amateure, da die gängigsten Malware-Arten auf einfacheren und schnelleren Sprachen wie Delphi beruhen.

Hingegen lässt die Programmierung in Assembler und C – noch dazu eigens angepassten Versionen – auf ein Team aus besonders fähigen Programmierern schließen. “Diese Techniken [werden] üblicherweise bei elitären Software-Entwicklern eingesetzt werden und fast nie in heutzutage verwendeter Malware zu sehen“, unterstreicht Soumenkov.

(ID:32553730)