كاسبرسكي لاب تنجح في التعرف على لغة حصان طروادة الغامضة

طلبت كاسبرسكي لاب مؤخراً من العديد من المبرمجين المساعدة في حل أكثر المسائل غموضاً في حصان طروادة.

السمات: الجرائم الرقميةKaspersky Lab
  • E-Mail
كاسبرسكي لاب تنجح في التعرف على لغة حصان طروادة الغامضة
 رياض ياسمينة بقلم  April 1, 2012 منشورة في 

طلبت كاسبرسكي لاب مؤخراً من العديد من المبرمجين المساعدة في حل أكثر المسائل غموضاً في حصان طروادة.

حيث يصعب التعرف على بنية مشفرة مجهولة داخل قطاع من Payload DLL للبرنامج الخبيثن وكان قطاع الشيفرة المجهول والمسمى بـDuqu Framework جزءا من Payload DLL ويعد مسئولا عن التفاعل مع خوادم C&C بعد أن يقوم حصان طروادة بإصابة الحاسب.

وبعد تحليل عدد كبير من ردود المبرمجين من جميع أنحاء العالم، أشار خبراء كاسبرسكي لاب بدرجة كبيرة من الثقة إلى أن Duqu Framework يتكون من شيفرة المصدر مكتوبة بلغة " C" المرفقة بـMicrosoft Visual Studio 2008 وخيارات خاصة لتفعيل حجم الشيفرة والدمج. إلى جانب ذلك استخدمت في تطوير الشيفرة إضافة معدلة لتجمع البرمجة كائنية المنحى مع لغة C والتي يشار إليها غالبا بـ"OO C".

هذا النوع من البرمجة المنزلية معقد للغاية وعادة ما نجده في المشاريع البرمجية "المدنية" المعقدة بخلاف البرمجيات الخبيثة الراهنة.

غير أنه ليس من السهل أن نوضح لماذا استخدمت OO C بدلا من C++ في Duqu Framework، إلا أن خبراء كاسبرسكي لاب يرون سببين معقولين لذلك:

مراقبة أكبر على الشيفرة: عندما نشرت C++ فضّل الكثير من المبرمجين القدامى عدم استخدامه وذلك جراء شكهم في جدوى تحكمه بالذاكرة وغيرها من الخصائص المجهولة للغة والتي تؤدي إلى التنفيذ غير المباشر للشيفرة. OO C توفر نظاما موثوقا أكثر مع إمكانية أقل لحدوث تصرفات غير متوقعة.

توافقية عالية: في السنوات 10 أو 12 الماضية لم تكن لغة C++ ملائمة لجميع برامج تحويل البيانات وكان من الممكن وقوع حالات عدم توافق مع برامج تحويل البيانات لمصنعين مختلفين.  إن استخدام لغة C يوفر للمبرمجين مرونة فائفة كونها تناسب جميع المنصات دون أن تواجهها أية تقييدات كالتي تعترض C++.

وقال ايغور سومينكوف، خبير في البرمجيات الخبيثة: "ثمة سببين يشيران إلى أن شيفرة كتبت من قبل فريق من المطورين القدامى من ذوي الخبرة الواسعة الذين رغبوا في إنشاء نظام معدل للقيام بالهجمات الالكترونية. من المحتمل أن تكون الشيفرة قد استخدمت من قبل، وجرى تعديلها لتدمج في حصان طروادة Duqu". وأضاف: "على كل حال، ثمة شيء مؤكد وهو أن هذه الأساليب تستخدم عادة من قبل نخبة مطوري البرامج وهي غير موجودة في البرمجيات الخبيثة الراهنة بشكل عام".

وتود كاسبرسكي لاب أن تعبر عن امتنانها لكل من ساهم في حل مسألة التعرف على الشيفرة المجهولة.

 

 

 

يمكنك الآن الحصول على آخر الأخبار في صندوق الوارد لبريدك الالكتروني عبر الاشتراك المجاني الآن بـ نشرتنا الالكترونية.

إضافة تعليق

اسم المشترك، حقل إجباري

البريد الإلكتروني، حقل إجباري

Security code