Passer au contenu

Trojan Duqu : Kaspersky demande de l’aide

Duqu est un trojan qui a pour but de s’infiltrer dans le système afin de voler des informations privées. Ce trojan touche plus particulièrement l’Iran et…

Duqu est un trojan qui a pour but de s’infiltrer dans le système afin de voler des informations privées. Ce trojan touche plus particulièrement l’Iran et a pour cible les centrales nucléaires iraniennes. Ce dernier donne du fil à retordre aux experts de la célèbre société Kaspersky qui est spécialisée dans la sécurité des systèmes d’information, car même si une grande partie du programme a été développée en C++, il semblerait qu’une partie du langage soit encore inconnue des ingénieurs.

Duqu

Une demande d’aide par Kaspersky
A part quelques références à Stuxnet 2.0 (un ver conçu pour attaquer une cible industrielle), Duqu reste un mystère en ce qui concerne le langage utilisé pour la prise en charge des communications. Un ingénieur de chez Kaspersky a donc demandé de l’aide auprès des internautes sur son blog. Pour le moment, une seule ébauche a été donnée par un internaute, indiquant que ce langage “inconnu” pourrait provenir de compilateurs IMB pour les vieux mainframe (ordinateur central de grande puissance) OS400 SYS38/SYS36.

Les principales conclusions données :

  • Le Framework de Duqu a été écrit dans un langage de programmation inconnu.
  • Contrairement  au corps du programme, le reste du langage de programmation de Duqu n’est pas en C++ et n’a pas été compilé avec Microsoft Visual C++.
  • L’architecture du code a été conçue pour être utilisée dans n’importe quel type de conditions, incluant des commutations asynchrones.
  • Si on se réfère à la taille du projet Duqu, il est fort probable que l’équipe qui se soit chargée du Framework ne soit pas la même que celle à l’origine des pilotes et de l’écriture de l’infection du système.
  • Ce mystérieux langage de programmation n’est définitivement pas du C++, Objective C, Java, Python, Ada, Lya et autres langages connus.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

85 commentaires
  1. Chrystelle tu nous fait la traduction de ta news s’il te plait 🙂
    Histoire qu’on dise : ah oui bidon ! 😀

  2. Il en faut pour tout le monde mec ! C’est toujours intéressant à lire même si on comprend pas tout.

  3. Pas du tout. Y en a à qui ça parle et l’univers des geeks a aussi sa “biodiversité” donc ne pas donner de détails techniques alors qu’elles sont disponibles serait un faute ici. Mieux vaux trop que pas assez.

  4. En gros, chez Kaspersky ce sont des noobs qui n’arrivent pas à identifier le langage utilisé pour la partie “communication” du trojan, tellement, qu’ils demandent de l’aide aux Internautes ! Et que la seule chose qu’ils arrivent à reconnaître c’est la partie C++ et que la seule chose qu’ils arrivent à dire c’est que le reste du langage n’est pas du C++ 😀

    Voilà un résumé les “GEEKS” :p

  5. Je ne comprends pas bien en quoi c’est problématique au final. Effectivement l’asm de sortie ne ressemble pas à une sortie vsc++ mais bon, ca reste du x86 dont on comprends le fonctionnement.
    Je me demande donc quelle est l’utilitée réélle de savoir quel compilateur à été utilisé à cet endroit

  6. ne serait ce pas à même titre que stuxnet le code propriétaire des centrales iraniennes en guise de charge utile le tout enrobé dans le C++ ?…

  7. Traduction

    Kaspersky demande de l’aide pour éradiquer un virus très actif en Iran créée par ……. vous savez qui….!

    Le jour où une centrale nucléaire ou autre chose nous pètera à la gueule à cause de la connerie de certains qui ne respectent rien au niveau internationale il faudra pas s’étonner !

  8. Au risque de dire une connerie, on s’en fout de la partie “communication”, non ? Tu supprimes le trojan et c’est tout…

  9. +1 Ocian un bon vieux désassembleur comme au bon vieux temps des 68k et au boulot, ils ne connaissent pas l’assembleur chez Kaspersky ?

  10. Flûte, grillé de quelques secondes.
    Puisqu’il semble que Duqu ait été programmé au moyen d’un langage inconnu sur Terre, c’est que Duqu est un ver extra-terrestre.
    Oh, les Men in Black, vous foutez quoi ?

  11. Si la capture d’écran est en rapport avec l’article, c’est vrai que c’est bizarre (et je doute que Kaspersky soient des noobs :p).
    Ca ressemble étrangement à un langage au niveau compilé … Par contre que ça ne soit pas du Java ou C# ou autre langage à VM, c’est normal, Stuxnet/Duqu n’auraient pu s’exécuter qu’en présence d’une Machine Virtuelle Java ou bien un Framework .NET, ce qui aurait énormément réduit son efficacité. Dans ce cas-là, le seul compilé nativement connu est le C++ mais vu que ça n’en est pas … Bizarre …

  12. Pinaise certains com volent au dessus de la volière, si certains sont prompts à donner des conseils de programmation ici, nous vous serions grès de bien vouloir donner un coup de main !!!!!!!!!

  13. Le Trojan Duqu a été écrit par des extras terrestres, voila l’explication ! Alors toujours gentil les E.T et autres E.T ? 😡

  14. Mais lol … le seul compilé connu est le c++ … juste lol hein …
    (le C, l’objective C… en fait n’importe quoi pour peu que tu es un compilateur qui te transforme ca en asm…)

  15. Personne ne fait une remarque sur mon troll de haute volée? : “Hébreu”…AHem!…”Iran”,”nucléaire”…Personne?! *cours au loin en chialant comme une fillette*

  16. Il faut ressusciter Champollion pour éviter la fin du monde. Sinon quand les rédacteurs comprendrons ce qu’ils écrivent ça ira mieux pour tout le monde je crois. J’avancerai une hypothèse pour faire avancer le sujet: est ce que ça ne ressemble pas un peu à de l’Esperanto++ le fameux langage que tous les ordinateurs comprennent mais que les humains ont du mal à saisir?

  17. Je vois pas ce qu’il y a de choquant, je dirais même que la news est plutôt intéressante. L’intérêt de comprendre le code (qui … peut/doit être désassemblé contrairement aux quelques commentaires stupides plus haut…) permet surtout de savoir comment virer le trojan sans tout péter dans le système, et aussi de savoir ce qu’il à put récupérer comme données… Quand un antivirus vire un virus et que votre windows ne marchent plus vous êtes les premiers à criser, imaginez que votre pc contrôle une centrale nucléaire, ca parait sensé d’assurer un peu le coup … Quand au langage utilisé, le nombres de chercheurs nécessaires (c’est plus vraiment de simple hackers à ce niveau…) ca confirme qu’il y a de grandes chances que ce soit “un gros gouvernement 😡 ” qui ai commandité l’attaque…

  18. @Mushu : c’est trop compliqué à comprendre pour les trolls habituels 😀
    Je m’incline, très joli troll pour le coup, ça mérite un oscar !

  19. Merci Chrystelle pour le résumé ! J’avais un peu compris mais c’est encore mieux 🙂
    En gros, l’entreprise d’anti virus ne sait pas comment détruire un … virus.

    J’aime la technologie et les entreprises d’aujourd’hui 🙂

  20. @Christelle : Je pense surtout que les ingénieurs de Kaspersky sont en age de n’avoir jamais approcher un mainframe. :D.

  21. Les Mac n’ont pas besoin d’antivirus ni de parefeu car les produits Apple, contrairement à leurs concurrents, sont des forteresses imprenables et ne peuvent être piratés.

    Aulieu de garder des PC, ils devraient prendre des Macs.

  22. @ Chrystelle : ton comm 6, c’est un peu bas duqu non?
    vouloir faire rire la galerie avec ce type de raccourcis, bof bof
    sur le coup, je ne t’ai pas trouvé amusante …. :/

    quand au sujet lui-même, si ce n’est pas un fake, et qu’ils ont réellement besoin d’aide, alors c’est que c’est peut-être un peu plus compliqué qu’une simple histoire de compilateur.

    @Mushu, +1 pour ton jeu de mot,qui effectivement élevait le débat, mais c’est moins drôle que d’écrire C++, OS/400 (oui, il manque un slash :p)

    tiens d’ailleurs , si mes souvenirs sont bons, l’OS/400, OS tournant sur AS/400 concerne des petits ordinateurs
    les MainFrame dont tu parles sont des ES/9000

    bref, un peu de culture…

    et maintenant vous pouvez relever le niveau 😀

  23. A moins que je n’ai pas compris, je rejoins Ocian et Fabio, il ont le code compilé passé au débugger, on a un code ASM dont “l’empreinte” ne correspond à aucun langage connu et là ils sont bloqué chez Kaspersky ?

    Personne ne code en ASM là-bas ?

    Pourquoi ne pas faire une rétroingénierie à l’ancienne à partir du code brute ?

    Vu la dangerosité du virus, ça vaudrait peut-être le coup de placer quelque mecs à plein temps là-dessus. Je dis pas que chez Kaspersky ils sont mauvais, bien au contraire mais j’essaye de comprendre la difficulté.

    Pour moi cela se résume à: si tu veux faire un bon virus, fabrique-toi déjà un langage connu que de toi.

  24. @iloveapple Non mac n’est pas imprenable c’est juste qu’il est peu utilisé donc peu d’intérêt pour les pirates , c’est tout … sur ce au revoir mon petit troll :love: !

  25. J’adore, sur le JDG, dés qu’un article parle d’un sujet un peu kikoo tu as tout les lecteurs que se déchainent avec leurs coms “Wa c nul, c tro pa g33k!!!”
    Et dès que tu parle code il n’y a plus personne, bravo l’esprit!

  26. @nargek: Exactement ce que je me disais, et que tout le monde sait, Apple c’est quoi? 5% du parc mondial? Donc pas la peine de se casser le c** à pirater ça alors qu’on peut attaquer 95% du parc avec un virus… Mais bon vu qu’il y a de plus en plus de produit de la pomme en circulation (iPad, iPhone, MB, etc…) j’en connais qui vont bientôt avoir des surprises et vite déchanter avec leur Mac “imprenable” 😀

    Sinon en ce qui concerne ce virus, si les mecs de chez Kasperski ne trouvent pas le langage en question c’est que c’est sûrement un langage développé pour l’occasion et enrobé dans du C++ pour “s’autocompiler”

  27. @Mushu Moi je m’incline du très haut niveau, est te peu être pas loin de la vérité. C’est peu être même cette entité “hébreu” qui fait pression sur Kaspersky pour ne pas réussir a identifier le langage et donc éradiqué le virus.

  28. Très bonne idée l’utilisation d’un nouveau language pour un virus. Mais comment dialogue t-il avec les cibles? Il convertit son code en C?

  29. Attention Chrystelle tu ne devrait pas dire que ce sont des noob car ce n’est pas le cas, des expert qui se retrouvent face a un problème sa arrive dans tout les domaines et ce ne sont pas des noobs 🙂 Maintenant j’admire l’appel a l’aide, il n’essaie pa en vain de régler le problèmes sans faire de bruit mais tente de trouver une solution de manière créative c’est cool j’espère qu’il y aura une petite récompense pour celui qui saura les aider de manière significative.
    Enfin maintenant qu’une entreprise de cet envergure rencontre ce genre de problème avec un virus qui attaque des centrale sa me fait plutôt peur … 🙁

  30. Sujet extrêmement intéressant !!!! Cela me laisse un peu perplexe! Comment peut on créer un langage soit même ? Je pense que ça doit être plus que complexe mais ce serais intéressant de voir ça!!

    En tous cas merci pour cette excellent sujet!!

  31. Windows c’est la cible des attaque de tout type de malware.
    A chaque malware , microsoft colmate la faille et rend Windows plus sécurisant.

    En gros Windows a sûrement moins de faille que Mac OS.
    qui sais ?? peu t’être que même Mac OS possède plus de faille que Linux.

    Si un jour et j’éspère pas que Mac OS prend le monopole des OS sur les ordinateur de bureau , il aura autant de virus, spyware et malware que aujourd’hui avec windows.

    La PS3 a tenu 4 ans avant que quelqu’un (Geohot) trouver une faille.

    Greg

  32. Attention une erreur de traduction s’est glissée dans l’article (qui est probablement à l’origine des incompréhension de certains”

    “L’architecture du code a été conçue pour être utilisée dans n’importe quel type de conditions, incluant les modes de transfert asynchrone.”

    L’article sur le blog dit:

    “The highly event driven architecture points to code which was designed to be used in pretty much any kind of conditions, including asynchronous commutations.”

    C’est commutations et pas communications. L’auteur veut probablement expliquer que le vers/trojan est capable de polymorphisme/transformation asynchrone. Ce qui reviendrait a dire qu’il peut changer de forme (de signature) sans que son/ses createurs ait besoin de lui confirmer l’action.

    Chaque developpeur/language a sa signature, determiner la signature permet de se rapprocher de l’auteur, et de pouvoir faire intervenir les autorités competentes. Dans le cas de Duqu (de ce que je comprend de l’article) Kasp n’est meme pas capable d’identifier le language, ce qui est un sacré handicap aussi bien pour trouver le coupable que pour identifier les autre formes du virus et pouvoir l’arreter.

  33. @iloveapple c’est quand même incroyable de voir qu’un vieux fanboy apple vienne baver sa m**** sur un topic qui n’a absolument rien a voir avec la pomme…

    Sinon, en ce qui concerne la new, : C’est bête pour eux 🙂

  34. @Ipxav : c’est pas anodin c’est sur, Tout est permis laissez libre court a votre imagination… (sséhihaaaa !)

  35. @traducteur: merci pour le rétablissement de l’information.

    Effectivement, avec tout ceci, la tâche pour Kasp va pas être aisée…

  36. plug_in : si tu n’as pas d’humour, ce n’est pas mon affaire, de plus que je prend l’article très au sérieux, puisque j’ai toujours été fasciné par ce sujet, sinon je ne l’aurai pas traité. Je ne pense pas du tout que chez Kaspersky “ils sont des noobs”, je disais ça sur le ton de la dérision, puisque certains me demandaient un résumé. POINT. Pas la peine d’en faire une montagne, sérieusement.

    Ensuite : Traduction +1 pour ta conclusion, cependant, en effectuant quelques recherches sur les “commutations asychrones”, je suis tombée sur un article parlant des modes de transfert asynchrone, je pensais que c’était en rapport, mais merci pour cette précision alors.

  37. @KorpuS : Ce n’est pas le fait de savoir lire l’assembleur ou non qui est mis en cause la. Le truc qui est comparé ici, c’est la manière dont le code a été traduit en assembleur. En d’autres termes, on cherche à savoir grâce à ce code asm, quel langage a donné naisaance à duqu, afin de savoir savoir comment lutter contre lui. D’ou la remarque en #16 sur la trace asm 8)

  38. C’était trop “inceptif”, c’est passé au dessus de certains mais bon..j’ai loler à “élevons le débat” alors que je demandais pas mieux! XD Merci à ceux qui ont compris;)

  39. @Orfeo34 : comme tous les langages , il est ramené a des instruction simple compréhensible par le processeur donc pas de probleme de ‘comprehension’ ^^

  40. Ça c’est un vrai article de geek, avec des articles comme celui-ci, le journal du geek redevient un journal pour geeks à mes yeux.

    @greg3395: Il me semble que l’OS de la PS3 est tiré de Fedora, “Yellow Dog Linux”. Sans l’ombre d’un doute de Linux on sortit les noyaux les plus puissants et les plus sécu qui existent au monde, plus de 90% des super computers tournent sous Linux.

  41. j’ai bcp d’humour, détrompe toi
    c’est peut-être parce que ce que toi, tu appelles de la dérision, moi je trouve que c’est un peu te foutre de notre g****e , du style je m’adresse à des gens qui pour la plupart ne sauront pas de quoi il s’agit dans ce sujet (les premiers posts le confirment un peu, et après tout c’est normal) .
    et donc pour toi, quand il s’agit de résumer quelque chose, pour le rendre accessible à la plupart des gens, la dérision, c’est ta solution?
    effectivement, on devrait te laisser écrire tout ce que tu veux sur le ton qu’il te plait, sinon ça signifierait en faire une montagne
    mais de ton coté, même si ce n’est pas ton affaire, que nous ayons ou non de l’humour ou plutôt TON humour, n’oublie pas que tu est lue par de nombreuses personnes, et que tu dois aussi en accepter la critique.
    tu remarqueras que Waldoo te demande de faire attention à ce que tu écris donc admet que parfois, tu peux merder et prend ce qu’on te reproche comme quelque chose de constructif au lieu de sortir que t’en rien à battre

  42. Wow, pour une fois qu’on a une news un peu plus techos que des rideaux de douche, il faut qu’on se ramasse un paquet de trolls …

    Merci les gars, vous allez juste réussir à dissuader le JDG de continuer sur la voie !

    Ya des articles pour tout le monde, personne n’est obligé de lire ceux dont vous ne vous sentez pas concernés puis de venir pourrir les commentaires !

  43. Plug : Ah mais lorsque je fais une erreur je l’admets sans problème très cher, et j’accepte la critique ! Mais constructive, pas qu’on me prenne la tête lorsque je “commente”, parce que dans les commentaires je me place comme une simple “lectrice” et je me permet un peu plus d’humour, ce n’était pas méchant et c’était pour faire sourire, en aucun cas et c’est promis, pour me moquer de qui que ce soit, désolée alors si tu l’as ressenti ainsi. Je pensais juste que vu le sérieux que j’y ai mis dans l’article, on verrait que ce petit trait d’humour était de la dérision… (oui j’ai pas fait des blagues à la tupu …). Quoi qu’il en soit encore une fois, milles excuses si ça semblait être du foutage de gueule, ce n’est pas le cas ! Quand j’ai écris ça, je savais très bien que ça ne toucherait pas tous les lecteurs et que les personnes qui y porteraient un intérêt, seraient deux fois plus expertes que moi en la matière car je ne suis que rédactrice, et même si je m’intéresse à tout ce qui touche la sécurité, je ne connais aucun langage de programmation. Mais je suis ravis de lire certains commentaires qui apportent clairement un + à l’article ! C’est aussi à ça que ça sert 🙂

  44. @linklenain: c’est vrai que dans mon esprit je partais dans l’idée qu’on se fout de savoir dans quel langage c’est écrit, on a le code décompilé (donc ASM).

    Mais c’est idiot comme raisonnement, connaitre le langage d’origine apporte énormément d’informations.

    @Chrystelle: Cette nouvelle génération de virus qui s’autocompile ou qui sont écrit dans des langages obscures est vraiment passionnante, merci pour l’info et c’est clair que quelques articles un peu plus “technique” de temps en temps ne fait pas de mal.

  45. @Plug_in Et un lexomil pour toi ! un ! 😉

    Sinon news intéressante, ça fait limite bizarre de parler de C++, d’assembleur ou de java lol

  46. Si cet article est trop compliqué pour certains, ils devraient sérieusement songer à changer de site web! 😉

  47. vi mlk92 : hey, c’est promis, pour que ça passe mieux , je mettrai des lol à chaque fin de phrase dorénavant 😉

  48. Perso , bien que passionnantes , c’est histoire de virus informatique auto compiler qui s’auto modifie. ça fais grave flipper, car :
    1/ sans être un expert en médecine cela ressemble un poil au VIH.
    2/ qui dit auto mutation … , dit apparition de la vie ….

    Somme nous au début d’un épisode de Lain ? Il y a t – il une vie dans le Wired … ?

  49. Une info de ce style incompréhensible des lecteurs du JDG ?
    ce sont des “geeks” de pacotille alors.
    Les développeurs de ce trojans sont géniaux ! Utiliser un langage oublié de tous est une idée de génie, et le fait qu’il soit écrit en langage de bas niveau, implique pour le lire d’être spécialiste (ce n’est pas à la portée de tout le monde) et trouver de spécialistes d’un langage disparu depuis longtemps va être une tache complexe.
    En admettant bien sur que ce langage inconnu soit comme c’est dit dans l’article; issu de vieux compilateurs IBM .

    La société devrait d’ailleurs s’exprimer a ce sujet, si les references a ses vieux mainframes se multiplient.

  50. @gazpumped : qui te dit que ce n’est pas déjà fais !!

    Sauf déconne morbide, c’est bête mais on se rapproche de plus en plus de Lain :

    Anonymous : Les Hommes en Noir
    Google : l’institut Tachibana
    Createur de duqu : Lain Iwakura

  51. traduction : Duqu trojan programmé par les extraterrestre, le language et forcement connu sinon il ne serais pas reconnu par les machines, il n est juste pas identifié

    Huhu forcement si c est sur de l Os400 ou As400 c est sur qu en regle general les informaticien des derniere génération connaissent pas mais kaspersky qui trouve pas d expert en mainframe ca crains. il devrai demander au operateur dont une partie du SI serai toujours ancien, a IBM ou xerox.

  52. J’avais jamais fait attention, mais les lecteurs du JDG sont très peu “techniques” en fait.

    Pour ceuc qui pensent qu’OsX et Linux sont exempts de toute vulnérabilités, détrompez-vous, et abonnez-vous à des flux RSS intéressants genre :

    exploit-db.com
    packetstormsecurity.org

    ou, plus officiels :

    http://www.certa.ssi.gouv.fr (France)
    tous les flux US-CERT (USA)

    et vous déchanterez vite sur vos certitudes quant à l’invulnérabilité des noyaux linux 😉

    Ça n’en fait pas moins une excellente base pour d’excellents OS.

  53. Yu : Non on s’en fout pas de la partie communication : )
    Même si oui on peut supprimer un trojan, on n’arrivera pas forcément à le supprimer sur les milliers de machines infectées, et celui ci continuera à se répandre et à faire sa vie.
    OR, puisqu’il s’agit d’un trojan, celui ci a pour but de transmettre des informations et de recevoir des ordres de la part de ses créateurs, et donc de se connecter à des serveurs.

    Percer la partie communication permettrait donc de connaître les serveurs auxquels sont reliés les trojans, et peut être, avec un peu de chance, de remonter aux coupables.

  54. La news la plus intéressante et la plus science fictionnelle que j’ai lu depuis des années .
    Excellent cette histoire , passionnant . 🙂

  55. ceux qui n’ont pas comprit sont des geeks. les nerds eux, sont déjà en train de plancher… 😀

  56. @Simvetanylen
    Sauf que dans le cas de celui-ci, ce qui a rendu son cousin extrêmement compliqué à détecter, c’est que Stuxnet est un des premiers (voir le meilleur dans cette catégorie) à ne pas s’être sur-développé. Il est resté quasiment qu’en Iran (il a certes un peu iradié d’autres pays mais la TRES GRANDE majorité des infections se situait dans ce pays) et était très discret. C’est donc une attaque ciblée qui l’a rendu très peu détectable, à tel point que quand les biélorusses VirusBlokAda l’ont trouvé, personne ne les a cru.

    Etant donné que Duqu est grandement basé sur Stuxnet, son côté “cheval de troie à extension” est contrôlé. Cela n’empêche pas que tu as raison de dire que cette partie n’est pas à négliger.

    De plus, il semblerait que la piste privilégiée pour le language soit soit un IDE/Framework/Toolkit développé main (ce qui renforcerait l’idée qu’ils [Duqu + Stuxnet] ont bien été développés par une très grande puissance financière pendant très longtemps), soit du Simple Object Orientation (for C), ce qui semble étrange car même si la sortie ASM pourrait coller, ce language semble trop jeune … Wait & See

    @aztazt
    Linux est un OS avec son propre noyau monolithique, il sert de base à des DISTRIBUTIONS, pas des OS 😉
    De plus Mac OS X est loin d’être invulnérable puisque basé sur un système BSD donc UNIX (et non Linux)

  57. C’est la merde si kaspersky a besoin d’aide car c’est quand même le meilleur antivirus et donc la meilleur société. Je rejoint un com un peu au dessus sur du polymorphisme de signature, si c’est le cas très compliqué à identifié et donc au final à éradiquer. A cela si le virus est auto regénérant c’est encore plus merdique. Certains com par contre vole vraiment à ras des paquettes (fais pitié même) sinon d’autres com du style (faire du reverse) ou ils ont le code asm donc il suffit juste de trouver un correctif pour le supprimé (pour eux, ils devraient s’instruire au lieu de sortir sa). Un virus peux être très complexe, c’est pas en claquant des doigts que sa va par magie le supprimé, il faut comprendre son mécanisme interne, son codage complet (pour pas qui est de fuite et donc de variante)…

  58. Je dois dire que même si je ne connais rien au monde de la programmation, je crois n’avoir jamais lu de news aussi passionnante sur le JDG.

    Quant à la démarche de Kaspersky, je la trouve super réaliste et intelligente…puis bon je ne me fais pas trop de soucis parce qu’à lire certains commentaires, ils régleront le soucis pour Kaspersky en 1/4 d’heure vu qu’ils semblent avoir trouvé ce qui bloque Kas. simplement en remuant leur café devant la news.

    Donc Kas. pourra je pense par la même occasion remercier le JDG et sa dizaine de lecteur surdoués qui ont démonté le soucis en 2-4-6.

  59. News vraiment intéressante ! Merci le JDG ! Malgré tout, il y a quelques erreurs dans les commentaires: La commutation asynchrone n’a rien à voir avec une quelconque capacité du virus à être un changeforme. Ce qui intrigue les chercheurs de chez Kaspersky, c’est que le framework utilisé pour développer les fonctions de communications de cette vérole est inconnu au bataillon et d’une puissance peu commune. Il donne en effet la capacité aux serveurs c&c (command and control, les machines qui permettent d’envoyer des ordres aux machines infectées) de communiquer à travers tous les types de réseaux y compris les réseaux commutés asynchrones, c’est à dire ATM (pour le détail, c’est ici http://www.httr.ups-tlse.fr/pedagogie/cours/reshd/atm/concepts.htm ). Ces fonctions de communications sont capables de monitorer et d’utiliser tous les types de connexions pour donner accès à la machine infectée. Et c’est la toute la beauté du bidule: Ces fonctions ont été développées à partir d’un framework à priori venant du monde du mainframe, j’ai cité IBM, et quasiment inconnu des développeurs actuels. De toute évidence les mecs à l’origine de ce module sont des sacrés pointures avec des moyens énormes. Le reste du vers est plus classique et n’a pas posé de problème spécifique à Kaspersky. Et il n’est pas basé sur stuxnet, il a des caractéristiques communes.

  60. Je pense que kaspersky est au top pour contrer la menace, savoir qu’ils sont dessus me rassure d’emblée. Maintenant, ce qui m’inquiète c’est que face à cette nouvelle forme de code, la complexité à lutter contre va aller croissant et de fait il risque d’y avoir un délai dangereux avant de pouvoir y opposer une réponse. J’ai connu au moins deux personnes susceptibles d’écrire un langage de programmation avec son compilateur, je suppose que pour faire le chemin inverse en complet retro engineering et retrouver “la partition” du chef d’oeuvre, il faut avoir du temps devant soi, autant que de la compétence. après dans le détail, je décroche, mais si vous avez des infos dans ce cas précis, on est preneurs. Je m’interroge quand à l’apparente simplicité désignée par certains qui prétendent que de disposer du code en assembleur c’est quasi 99% de la résolution du problème, ok ce langage est “simple” dans l’interprétation immédiate du code, mais de là à retracer le fonctionnement complet du programme…

  61. #[…]« Compte-tenu de la taille du projet Duqu, il est possible que la création du Framework Duqu ait été réalisée par une équipe totalement différente de celle qui a conçu les pilotes et écrit le code d’infection », a indiqué de son côté Alexander Gostev, expert de Kaspersky. […]”
    source ” lemondeinformatique ”

    Donc on peut supposer que les doutes concernant stuxnet en sachant que duqu est une variante , son vrai sur le fait que les usa et israêl se sont associés .
    Unité 8200 ( http://fr.wikipedia.org/wiki/Unit%C3%A9_8200 ) et sandia laboratories ( http://fr.wikipedia.org/wiki/Laboratoires_Sandia ) ?

  62. “Journal du geek” mwaii .. Quand on voit les coms sur ce genre de sujet intéressant …
    @traducteur : Intéressant ce que tu dis, c’est ce que j’avais compris en lisant le message de Kasp sur fcbk

    Si c’est réellement un “nouveau langage” qui est utilisé comme framework, c’est qu’il y a du monde travaillant dessus … Parce que de mémoire création d’un langage/compilateur c’est 50 années/hommes … Et là polymorphique c’est pas du noobisme…

  63. Apparemment Kaspersky a trouvé, le langage serait du C orienté objet ! Ca parait bidon comme ça et on pourrait se demander pourquoi ils ont mis autant de temps à trouver mais c’est tout simplement parce que le C n’a pas été créé pour faire (à la base) de l’objet, au contraire du C++.
    En tout cas ça va permettre d’éclaircir un peu les parties de codes ASM qu’ils ne comprenaient pas et d’en apprendre peut être un peu plus sur les créateurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *