近日，信息安全廠商卡巴斯基實(shí)驗(yàn)室經(jīng)過長期跟蹤和研究，發(fā)現(xiàn)去年引起業(yè)界地震的Duqu木馬正在使用未知編程語言，并向廣大用戶發(fā)布預(yù)警信號。

Duqu是一種復(fù)雜的木馬，最早于2011年9月被發(fā)現(xiàn)，其主要功能是充當(dāng)系統(tǒng)后門，竊取隱私，它的編寫者也創(chuàng)造了臭名昭著的Stuxnet蠕蟲。但是，根據(jù)卡巴斯基實(shí)驗(yàn)室數(shù)據(jù)，第一款同Duqu有關(guān)的惡意軟件早在2007年8月就已經(jīng)出現(xiàn)。此外，卡巴斯基實(shí)驗(yàn)室專家還記錄到超過十多次同Duqu相關(guān)的安全事件，其中大部分受害者都位于伊朗。針對這些受害者所屬的組織以及Duqu木馬所竊取的信息進(jìn)行分析，可以很清楚的看到該木馬的攻擊目的主要是竊取某些應(yīng)用于特定領(lǐng)域的工業(yè)控制系統(tǒng)的相關(guān)信息，此外還收集大量伊朗所屬組織的商業(yè)關(guān)系情報(bào)。

目前，業(yè)界針對Duqu木馬最大的疑團(tuán)是該惡意程序感染計(jì)算機(jī)后，是如何同命令控制中心（C&C）進(jìn)行通訊的。Duqu木馬用于同C&C通訊的模塊是其有效負(fù)荷DLL的一部分。對該有效負(fù)荷DLL進(jìn)行全面的分析后，卡巴斯基實(shí)驗(yàn)室的研究者發(fā)現(xiàn)該DLL中存在一段特定采用一種未知編程語言編寫的代碼，其唯一功能就是同C&C進(jìn)行通訊?？ò退够鶎?shí)驗(yàn)室的研究人員將這一段未知代碼命名為"Duqu架構(gòu)"。

同Duqu木馬的其它組件不同，Duqu架構(gòu)并不是采用C++編寫，也沒有使用微軟的Visual C++ 2008進(jìn)行編譯，很可能其編寫者使用了一種內(nèi)部架構(gòu)，生成了媒介C代碼，或者他們使用了一種完全不同的編程語言。此外，卡巴斯基實(shí)驗(yàn)室研究人員已經(jīng)確認(rèn)該語言為面向?qū)ο笫秸Z言，并且能夠自行執(zhí)行其相關(guān)行為，而且適合網(wǎng)絡(luò)應(yīng)用的開發(fā)。

Duqu架構(gòu)所使用的語言高度專業(yè)化，能夠讓有效負(fù)荷DLL同其它Duqu模塊獨(dú)立，通過多種途徑包括Windows HTTP、網(wǎng)絡(luò)端口和代理服務(wù)器同C&C建立連接。還能夠讓有效負(fù)荷DLL直接處理來自C&C的HTTP服務(wù)器請求，甚至可以在網(wǎng)絡(luò)中的其它計(jì)算機(jī)上傳播輔助惡意代碼，實(shí)現(xiàn)可控制并且隱蔽的感染手段，殃及其它計(jì)算機(jī)。

卡巴斯基實(shí)驗(yàn)室首席安全專家Alexander Gostev分析說："考慮到Duqu項(xiàng)目的規(guī)模，很可能Duqu架構(gòu)是由一個(gè)完全不同的團(tuán)隊(duì)負(fù)責(zé)編寫的，這一團(tuán)隊(duì)同編寫驅(qū)動(dòng)程序和系統(tǒng)漏洞利用程序的團(tuán)隊(duì)不同。該惡意軟件具有極高的可定制性，并且采用了特有的編程語言編寫。很可能這樣做的目的是防止其他外部第三方人員了解其網(wǎng)絡(luò)間諜行為以及同命令控制中心的交互，還能夠確保編寫Duqu其它組件的團(tuán)隊(duì)同樣無法了解該惡意軟件的詳情。"Alexander Gostev認(rèn)為，這一惡意軟件采用了專門的編程語言，充分說明從事這一項(xiàng)目開發(fā)的人員所掌握的技術(shù)非常卓越。而且要順利實(shí)施開發(fā)這一項(xiàng)目，必然需要大量金融和人力資源的支持。

卡巴斯基實(shí)驗(yàn)室呼吁廣大編程社區(qū)加入到分析這一惡意軟件的行動(dòng)中來，如果有人能夠識別出這一架構(gòu)，或者其中所使用的工具或能夠生成類似代碼結(jié)構(gòu)的編程語言，可聯(lián)系卡巴斯基實(shí)驗(yàn)室的專家。