كاسبرسكي تكشف الشيفرة البرمجية لحصان طروادة

ناشدت كاسبرسكي لاب مؤخرا المبرمجين للمساعدة في حل أكثر المسائل غموضا تتعلق بحصان طروادة Duqu، وهو التعرف على بنية مشفرة مجهولة داخل قطاع من Payload DLL للبرنامج الخبيث. وكان قطاع الشيفرة المجهول والمسمى بـDuqu Framework جزءا من Payload DLL ويعد مسؤولا عن التفاعل مع خوادم C&C بعد أن يقوم حصان طروادة بإصابة الحاسب.

وبعد تحليل عدد كبير من ردود المبرمجين من جميع أنحاء العالم، أشار خبراء كاسبرسكي لاب بدرجة كبيرة من الثقة إلى أن Duqu Framework يتكون من شيفرة المصدر مكتوبة بلغة ” C” المرفقة بـMicrosoft Visual Studio 2008 وخيارات خاصة لتفعيل حجم الشيفرة والدمج. إلى جانب ذلك استخدمت في تطوير الشيفرة إضافة معدلة لتجمع البرمجة كائنية المنحى مع لغة C والتي يشار إليها غالبا بـ”OO C”.

و أضاف الخبراء أن هذا النوع من البرمجة المنزلية معقد للغاية وعادة ما نجده في المشاريع البرمجية “المدنية” المعقدة بخلاف البرمجيات الخبيثة الراهنة. وبرأيهم ليس من السهل توضيح سبب استخدام OO C بدلا من C++ في Duqu Framework، إلا أن خبراء كاسبرسكي لاب يرون سببين معقولين لذلك:

مراقبة أكبر على الشيفرة: عندما نشرت C++ فضّل الكثير من المبرمجين القدامى عدم استخدامه وذلك جراء شكهم في جدوى تحكمه بالذاكرة وغيرها من الخصائص المجهولة للغة والتي تؤدي إلى التنفيذ غير المباشر للشيفرة. OO C توفر نظاما موثوقا أكثر مع إمكانية أقل لحدوث تصرفات غير متوقعة.

توافقية عالية: في السنوات 10 أو 12 الماضية لم تكن لغة C++ ملائمة لجميع برامج تحويل البيانات وكان من الممكن وقوع حالات عدم توافق مع برامج تحويل البيانات لمصنعين مختلفين. إن استخدام لغة C يوفر للمبرمجين مرونة فائفة كونها تناسب جميع المنصات دون أن تواجهها أية تقييدات كالتي تعترض C++.

وقال ايغور سومينكوف، خبير في البرمجيات الخبيثة، أن هناك سببين يشيران إلى أن شيفرة Duqu كتبت من قبل فريق من المطورين القدامى من ذوي الخبرة الواسعة الذين رغبوا في إنشاء نظام معدل للقيام بالهجمات الالكترونية. من المحتمل أن تكون الشيفرة قد استخدمت من قبل، وجرى تعديلها لتدمج في حصان طروادة Duqu.

وختم حديثه أنه ثمة شيء مؤكد وهو أن هذه الأساليب تستخدم عادة من قبل نخبة مطوري البرامج وهي غير موجودة في البرمجيات الخبيثة الراهنة بشكل عام.


المصدر