Trojan Duqu : Kaspersky demande de l’aide

Par Chrystelle, 09 mars 2012 à 11:55 Sur le web 85 avis

Duqu est un trojan qui a pour but de s’infiltrer dans le système afin de voler des informations privées. Ce trojan touche plus particulièrement l’Iran et a pour cible les centrales nucléaires iraniennes. Ce dernier donne du fil à retordre aux experts de la célèbre société Kaspersky qui est spécialisée dans la sécurité des systèmes d’information, car même si une grande partie du programme a été développée en C++, il semblerait qu’une partie du langage soit encore inconnue des ingénieurs.

Une demande d’aide par Kaspersky
A part quelques références à Stuxnet 2.0 (un ver conçu pour attaquer une cible industrielle), Duqu reste un mystère en ce qui concerne le langage utilisé pour la prise en charge des communications. Un ingénieur de chez Kaspersky a donc demandé de l’aide auprès des internautes sur son blog. Pour le moment, une seule ébauche a été donnée par un internaute, indiquant que ce langage « inconnu » pourrait provenir de compilateurs IMB pour les vieux mainframe (ordinateur central de grande puissance) OS400 SYS38/SYS36.

Les principales conclusions données :

Le Framework de Duqu a été écrit dans un langage de programmation inconnu.
Contrairement au corps du programme, le reste du langage de programmation de Duqu n’est pas en C++ et n’a pas été compilé avec Microsoft Visual C++.
L’architecture du code a été conçue pour être utilisée dans n’importe quel type de conditions, incluant des commutations asynchrones.
Si on se réfère à la taille du projet Duqu, il est fort probable que l’équipe qui se soit chargée du Framework ne soit pas la même que celle à l’origine des pilotes et de l’écriture de l’infection du système.
Ce mystérieux langage de programmation n’est définitivement pas du C++, Objective C, Java, Python, Ada, Lya et autres langages connus.

Source

Favoris

Flux RSS des commentaires

Imprimer

Tags : aide Duqu Kaspersky Trojan

85 avis Ajouter le votre

Afficher: Afficher tous

spad24
9 mar, 2012, 11:58 #1
trop technique cette info
2 7
Commentaire masqué : cliquez pour afficher le commentaire
ork
9 mar, 2012, 12:01 #2
Chrystelle tu nous fait la traduction de ta news s’il te plait
Histoire qu’on dise : ah oui bidon !
2 1
Lavaze
9 mar, 2012, 12:02 #3
Il en faut pour tout le monde mec ! C’est toujours intéressant à lire même si on comprend pas tout.
5 1
Mushu
9 mar, 2012, 12:04 #4
C’est de l’hébreu pour moi…
0 2
Commentaire masqué : cliquez pour afficher le commentaire
thonyzuka
9 mar, 2012, 12:05 #5
Pas du tout. Y en a à qui ça parle et l’univers des geeks a aussi sa « biodiversité » donc ne pas donner de détails techniques alors qu’elles sont disponibles serait un faute ici. Mieux vaux trop que pas assez.
5 0
Chrystelle
9 mar, 2012, 12:05 #6
En gros, chez Kaspersky ce sont des noobs qui n’arrivent pas à identifier le langage utilisé pour la partie « communication » du trojan, tellement, qu’ils demandent de l’aide aux Internautes ! Et que la seule chose qu’ils arrivent à reconnaître c’est la partie C++ et que la seule chose qu’ils arrivent à dire c’est que le reste du langage n’est pas du C++
Voilà un résumé les « GEEKS »
8 0
Ocian
9 mar, 2012, 12:05 #7
Je ne comprends pas bien en quoi c’est problématique au final. Effectivement l’asm de sortie ne ressemble pas à une sortie vsc++ mais bon, ca reste du x86 dont on comprends le fonctionnement.
Je me demande donc quelle est l’utilitée réélle de savoir quel compilateur à été utilisé à cet endroit
4 0
Bob
9 mar, 2012, 12:07 #8
Je crois que je suis trop geek .. J’ai tout compris
5 0
nemecle
9 mar, 2012, 12:08 #9
ne serait ce pas à même titre que stuxnet le code propriétaire des centrales iraniennes en guise de charge utile le tout enrobé dans le C++ ?…
0 0
aliba
9 mar, 2012, 12:08 #10
Traduction
Kaspersky demande de l’aide pour éradiquer un virus très actif en Iran créée par ……. vous savez qui….!
Le jour où une centrale nucléaire ou autre chose nous pètera à la gueule à cause de la connerie de certains qui ne respectent rien au niveau internationale il faudra pas s’étonner !
3 0
sephiroth88
9 mar, 2012, 12:08 #11
ça pue, Duqu (je suis dehors………)
6 0
DaFab
9 mar, 2012, 12:09 #12
Ca pue, Duqu
0 2
Commentaire masqué : cliquez pour afficher le commentaire
Yu
9 mar, 2012, 12:10 #13
Au risque de dire une connerie, on s’en fout de la partie « communication », non ? Tu supprimes le trojan et c’est tout…
0 3
Commentaire masqué : cliquez pour afficher le commentaire
Fabio
9 mar, 2012, 12:10 #14
+1 Ocian un bon vieux désassembleur comme au bon vieux temps des 68k et au boulot, ils ne connaissent pas l’assembleur chez Kaspersky ?
0 0
DaFab
9 mar, 2012, 12:11 #15
Flûte, grillé de quelques secondes.
Puisqu’il semble que Duqu ait été programmé au moyen d’un langage inconnu sur Terre, c’est que Duqu est un ver extra-terrestre.
Oh, les Men in Black, vous foutez quoi ?
1 0
nerthazrim
9 mar, 2012, 12:13 #16
Si la capture d’écran est en rapport avec l’article, c’est vrai que c’est bizarre (et je doute que Kaspersky soient des noobs :p).
Ca ressemble étrangement à un langage au niveau compilé … Par contre que ça ne soit pas du Java ou C# ou autre langage à VM, c’est normal, Stuxnet/Duqu n’auraient pu s’exécuter qu’en présence d’une Machine Virtuelle Java ou bien un Framework .NET, ce qui aurait énormément réduit son efficacité. Dans ce cas-là, le seul compilé nativement connu est le C++ mais vu que ça n’en est pas … Bizarre …
2 0
aliba
9 mar, 2012, 12:14 #17
Pinaise certains com volent au dessus de la volière, si certains sont prompts à donner des conseils de programmation ici, nous vous serions grès de bien vouloir donner un coup de main !!!!!!!!!
2 0
9 mar, 2012, 12:16 #18
Le Trojan Duqu a été écrit par des extras terrestres, voila l’explication ! Alors toujours gentil les E.T et autres E.T ?
0 0
Ocian
9 mar, 2012, 12:16 #19
Mais lol … le seul compilé connu est le c++ … juste lol hein …
(le C, l’objective C… en fait n’importe quoi pour peu que tu es un compilateur qui te transforme ca en asm…)
0 0
ikg
9 mar, 2012, 12:17 #20
Sur le screenshot c’est de l’assembleur
0 0
Mushu
9 mar, 2012, 12:20 #21
Personne ne fait une remarque sur mon troll de haute volée? : « Hébreu »…AHem!… »Iran », »nucléaire »…Personne?! *cours au loin en chialant comme une fillette*
1 4
Commentaire masqué : cliquez pour afficher le commentaire
aliba
9 mar, 2012, 12:23 #22
Mushu si tu veux un public il y a le geek comedy club, essayons d’élever le débat
2 1
Alex
9 mar, 2012, 12:25 #23
Il faut ressusciter Champollion pour éviter la fin du monde. Sinon quand les rédacteurs comprendrons ce qu’ils écrivent ça ira mieux pour tout le monde je crois. J’avancerai une hypothèse pour faire avancer le sujet: est ce que ça ne ressemble pas un peu à de l’Esperanto++ le fameux langage que tous les ordinateurs comprennent mais que les humains ont du mal à saisir?
0 2
Commentaire masqué : cliquez pour afficher le commentaire
CaptainObvious
9 mar, 2012, 12:26 #24
Je vois pas ce qu’il y a de choquant, je dirais même que la news est plutôt intéressante. L’intérêt de comprendre le code (qui … peut/doit être désassemblé contrairement aux quelques commentaires stupides plus haut…) permet surtout de savoir comment virer le trojan sans tout péter dans le système, et aussi de savoir ce qu’il à put récupérer comme données… Quand un antivirus vire un virus et que votre windows ne marchent plus vous êtes les premiers à criser, imaginez que votre pc contrôle une centrale nucléaire, ca parait sensé d’assurer un peu le coup … Quand au langage utilisé, le nombres de chercheurs nécessaires (c’est plus vraiment de simple hackers à ce niveau…) ca confirme qu’il y a de grandes chances que ce soit « un gros gouvernement » qui ai commandité l’attaque…
2 0
Nobo
9 mar, 2012, 12:30 #25
@Mushu : c’est trop compliqué à comprendre pour les trolls habituels
Je m’incline, très joli troll pour le coup, ça mérite un oscar !
1 0
ork
9 mar, 2012, 12:37 #26
Merci Chrystelle pour le résumé ! J’avais un peu compris mais c’est encore mieux
En gros, l’entreprise d’anti virus ne sait pas comment détruire un … virus.
J’aime la technologie et les entreprises d’aujourd’hui
0 2
Commentaire masqué : cliquez pour afficher le commentaire
Xiongmao
9 mar, 2012, 12:38 #27
@Christelle : Je pense surtout que les ingénieurs de Kaspersky sont en age de n’avoir jamais approcher un mainframe. :D.
3 1
iloveapple
9 mar, 2012, 12:54 #28
Les Mac n’ont pas besoin d’antivirus ni de parefeu car les produits Apple, contrairement à leurs concurrents, sont des forteresses imprenables et ne peuvent être piratés.
Aulieu de garder des PC, ils devraient prendre des Macs.
0 11
Commentaire masqué : cliquez pour afficher le commentaire
Chrystelle
9 mar, 2012, 12:55 #29
iloveapple : bravo pour ce commentaire constructif qui ne troll pas du tout ^^
8 0
plug_in
9 mar, 2012, 12:55 #30
@ Chrystelle : ton comm 6, c’est un peu bas duqu non?
vouloir faire rire la galerie avec ce type de raccourcis, bof bof
sur le coup, je ne t’ai pas trouvé amusante …. :/
quand au sujet lui-même, si ce n’est pas un fake, et qu’ils ont réellement besoin d’aide, alors c’est que c’est peut-être un peu plus compliqué qu’une simple histoire de compilateur.
@Mushu, +1 pour ton jeu de mot,qui effectivement élevait le débat, mais c’est moins drôle que d’écrire C++, OS/400 (oui, il manque un slash :p)
tiens d’ailleurs , si mes souvenirs sont bons, l’OS/400, OS tournant sur AS/400 concerne des petits ordinateurs
les MainFrame dont tu parles sont des ES/9000
bref, un peu de culture…
et maintenant vous pouvez relever le niveau
1 0
KorpuS
9 mar, 2012, 13:00 #31
A moins que je n’ai pas compris, je rejoins Ocian et Fabio, il ont le code compilé passé au débugger, on a un code ASM dont « l’empreinte » ne correspond à aucun langage connu et là ils sont bloqué chez Kaspersky ?
Personne ne code en ASM là-bas ?
Pourquoi ne pas faire une rétroingénierie à l’ancienne à partir du code brute ?
Vu la dangerosité du virus, ça vaudrait peut-être le coup de placer quelque mecs à plein temps là-dessus. Je dis pas que chez Kaspersky ils sont mauvais, bien au contraire mais j’essaye de comprendre la difficulté.
Pour moi cela se résume à: si tu veux faire un bon virus, fabrique-toi déjà un langage connu que de toi.
0 0
nargek
9 mar, 2012, 13:09 #32
@iloveapple Non mac n’est pas imprenable c’est juste qu’il est peu utilisé donc peu d’intérêt pour les pirates , c’est tout … sur ce au revoir mon petit troll !
2 0
Daelan Kaitan
9 mar, 2012, 13:21 #33
J’adore, sur le JDG, dés qu’un article parle d’un sujet un peu kikoo tu as tout les lecteurs que se déchainent avec leurs coms « Wa c nul, c tro pa g33k!!! »
Et dès que tu parle code il n’y a plus personne, bravo l’esprit!
2 0
Shadam
9 mar, 2012, 13:21 #34
@nargek: Exactement ce que je me disais, et que tout le monde sait, Apple c’est quoi? 5% du parc mondial? Donc pas la peine de se casser le c** à pirater ça alors qu’on peut attaquer 95% du parc avec un virus… Mais bon vu qu’il y a de plus en plus de produit de la pomme en circulation (iPad, iPhone, MB, etc…) j’en connais qui vont bientôt avoir des surprises et vite déchanter avec leur Mac « imprenable »
Sinon en ce qui concerne ce virus, si les mecs de chez Kasperski ne trouvent pas le langage en question c’est que c’est sûrement un langage développé pour l’occasion et enrobé dans du C++ pour « s’autocompiler »
1 0
lescentciels
9 mar, 2012, 13:30 #35
@Mushu Moi je m’incline du très haut niveau, est te peu être pas loin de la vérité. C’est peu être même cette entité « hébreu » qui fait pression sur Kaspersky pour ne pas réussir a identifier le langage et donc éradiqué le virus.
0 0
Orfeo34
9 mar, 2012, 13:35 #36
Très bonne idée l’utilisation d’un nouveau language pour un virus. Mais comment dialogue t-il avec les cibles? Il convertit son code en C?
0 0
Waldoo
9 mar, 2012, 13:36 #37
Attention Chrystelle tu ne devrait pas dire que ce sont des noob car ce n’est pas le cas, des expert qui se retrouvent face a un problème sa arrive dans tout les domaines et ce ne sont pas des noobs Maintenant j’admire l’appel a l’aide, il n’essaie pa en vain de régler le problèmes sans faire de bruit mais tente de trouver une solution de manière créative c’est cool j’espère qu’il y aura une petite récompense pour celui qui saura les aider de manière significative.
Enfin maintenant qu’une entreprise de cet envergure rencontre ce genre de problème avec un virus qui attaque des centrale sa me fait plutôt peur …
2 0
lpxav
9 mar, 2012, 13:37 #38
Sujet extrêmement intéressant !!!! Cela me laisse un peu perplexe! Comment peut on créer un langage soit même ? Je pense que ça doit être plus que complexe mais ce serais intéressant de voir ça!!
En tous cas merci pour cette excellent sujet!!
0 0
greg3395
9 mar, 2012, 13:39 #39
Windows c’est la cible des attaque de tout type de malware.
A chaque malware , microsoft colmate la faille et rend Windows plus sécurisant.
En gros Windows a sûrement moins de faille que Mac OS.
qui sais ?? peu t’être que même Mac OS possède plus de faille que Linux.
Si un jour et j’éspère pas que Mac OS prend le monopole des OS sur les ordinateur de bureau , il aura autant de virus, spyware et malware que aujourd’hui avec windows.
La PS3 a tenu 4 ans avant que quelqu’un (Geohot) trouver une faille.
Greg
0 0
traducteur
9 mar, 2012, 13:42 #40
Attention une erreur de traduction s’est glissée dans l’article (qui est probablement à l’origine des incompréhension de certains »
« L’architecture du code a été conçue pour être utilisée dans n’importe quel type de conditions, incluant les modes de transfert asynchrone. »
L’article sur le blog dit:
« The highly event driven architecture points to code which was designed to be used in pretty much any kind of conditions, including asynchronous commutations. »
C’est commutations et pas communications. L’auteur veut probablement expliquer que le vers/trojan est capable de polymorphisme/transformation asynchrone. Ce qui reviendrait a dire qu’il peut changer de forme (de signature) sans que son/ses createurs ait besoin de lui confirmer l’action.
Chaque developpeur/language a sa signature, determiner la signature permet de se rapprocher de l’auteur, et de pouvoir faire intervenir les autorités competentes. Dans le cas de Duqu (de ce que je comprend de l’article) Kasp n’est meme pas capable d’identifier le language, ce qui est un sacré handicap aussi bien pour trouver le coupable que pour identifier les autre formes du virus et pouvoir l’arreter.
0 0
seb83
9 mar, 2012, 13:44 #41
le post de SCooke est vraiment pertinent (ca resoud pas le schmilblick mais bon)
0 0
Apostroph'
9 mar, 2012, 13:45 #42
@iloveapple c’est quand même incroyable de voir qu’un vieux fanboy apple vienne baver sa m**** sur un topic qui n’a absolument rien a voir avec la pomme…
Sinon, en ce qui concerne la new, : C’est bête pour eux
0 0
Error32
9 mar, 2012, 13:52 #43
@greg3395
Mac ne déroge pas à la règle
Article pas très récent mais bon l’esprit est la
http://www.palmipode.fr/2011/06/18/virus-sur-mac-mythes-realites-et-solutions/
1 0
Waldoo
9 mar, 2012, 13:55 #44
@Ipxav : c’est pas anodin c’est sur, Tout est permis laissez libre court a votre imagination… (sséhihaaaa !)
0 0
MatthRoca
9 mar, 2012, 13:55 #45
Info changeant de l’ordinaire et très interesssante Technique certes !
0 0
Billou_13
9 mar, 2012, 13:56 #46
@traducteur: merci pour le rétablissement de l’information.
Effectivement, avec tout ceci, la tâche pour Kasp va pas être aisée…
0 0
Chrystelle
9 mar, 2012, 14:02 #47
plug_in : si tu n’as pas d’humour, ce n’est pas mon affaire, de plus que je prend l’article très au sérieux, puisque j’ai toujours été fasciné par ce sujet, sinon je ne l’aurai pas traité. Je ne pense pas du tout que chez Kaspersky « ils sont des noobs », je disais ça sur le ton de la dérision, puisque certains me demandaient un résumé. POINT. Pas la peine d’en faire une montagne, sérieusement.
Ensuite : Traduction +1 pour ta conclusion, cependant, en effectuant quelques recherches sur les « commutations asychrones », je suis tombée sur un article parlant des modes de transfert asynchrone, je pensais que c’était en rapport, mais merci pour cette précision alors.
2 0
linklenain
9 mar, 2012, 14:03 #48
@KorpuS : Ce n’est pas le fait de savoir lire l’assembleur ou non qui est mis en cause la. Le truc qui est comparé ici, c’est la manière dont le code a été traduit en assembleur. En d’autres termes, on cherche à savoir grâce à ce code asm, quel langage a donné naisaance à duqu, afin de savoir savoir comment lutter contre lui. D’ou la remarque en #16 sur la trace asm
0 0
Mushu
9 mar, 2012, 14:03 #49
C’était trop « inceptif », c’est passé au dessus de certains mais bon..j’ai loler à « élevons le débat » alors que je demandais pas mieux! Merci à ceux qui ont compris;)
0 0
Jango51
9 mar, 2012, 14:04 #50
@Orfeo34 : comme tous les langages , il est ramené a des instruction simple compréhensible par le processeur donc pas de probleme de ‘comprehension’ ^^
0 0