Kaspersky Labのエキスパート「トロイの木馬Duquは未知の言語で書かれていると特定

Kaspersky Labは最近、悪意のあるプログラムPayload DLLの一部に存在する未知のコードブロックと特定されたトロイの木馬Duquの最大の謎の1つを解くために、プログラミング・コミュニティに協力を要請しました。Duqu フレームワークと名付けた未知のコードセクションは、被害者のマシンにトロイの木馬が感染した後、コマンド＆コントロール（C&C）サーバーと情報交換を行う役割を担うPayload DLLの一部であることが明らかになりました。

プログラミング・コミュニティから多数の有用なフィードバックを受け取った後、Kaspersky Labのエキスパートは、Duqu フレームワークがかなり高い確率で、Microsoft Visual Studio 2008およびコードサイズとインライン展開を最適化するための特別なオプションを用いてコンパイルされたC言語で書かれていると明言しました。このコードはまた、OO Cと呼ばれるオブジェクト指向C言語をカスタマイズして書かれていました。

この手の内製プログラムは極めて洗練されており、一般的には、今日のマルウェアよりもむしろ複雑なシビル・ソフトウェア・プロジェクトで見られます。

Duqu フレームワークにC++ではなく、OO Cが使用されている明確な理由は不明ですが、これが使われている2つの合理的な要因があります。

• コードのコントロールがより容易：C++が公開されたとき、多くの古参プログラマーはC++を敬遠しました。その理由はメモリ割り当てに対して不信感があったこと、コードの間接的な実行を生ずる不明瞭な言語の特徴にありました。OO Cは、予期しない動作を起こす確率がより低く、より信頼できるフレームワークを提供します。
• 
  
• 極めて高い移植性：約10～12年前は、C++は完全には標準化されておらず、すべてのコンパイラと相互運用ができないC++コードを持つことが可能でした。C++に関連する制限に直面することなく、いつでもすべての既存のプラットフォームを対象にすることができるため、Cの使用は、プログラマーに高い移植性をもたらします。

マルウェア エキスパートであるイゴール・ソウメンコフ (Igor Soumenkov)は次のように述べています。「これら2つの理由から、このコードが伝統的なスタイルの経験豊かな開発者チームによって書かれていることが分かります。彼らは、フレキシブルで順応性に富んだ攻撃プラットフォームをサポートするためにカスタマイズされたフレームワークを作成したいと考えています。このコードは、過去のサイバー攻撃プログラムから再利用され、トロイの木馬Duquに組み込むためにカスタマイズされたに違いありません。しかし、確かなことが１つだけあります。これらの技術は、通常、プロフェッショナルなソフトウェアで見られるものであり、最近のありふれたマルウェアとは全く異なるものであるということです。」

Kaspersky Labは、この未知のコードを解明するための活動に参加してくれた皆様に感謝の意を表します。

解析結果の詳細については下記のサイトをご覧ください。
http://www.securelist.com/en/blog/677/The_mystery_of_Duqu_Framework_solved（英語のみ）

ここには、フレームワークの技術的な詳細情報、そして、Kaspersky Labが受け取り、Duquの謎の一部を解くのに有益だったコメントも含まれています。

【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Lab は、ウイルス・スパイウェア・クライムウェア・不正侵入・フィッシング詐欺・スパムといった IT 上の脅威に対抗する世界で最も迅速かつ高品質な保護を提供する、ヨーロッパ最大のアンチウイルスベンダーです。エンドポイント向けソリューションにおいては、全世界でもトップ4のシェアを持っています。個人／SOHO向けにとどまらず、中小企業向け、大企業向け、モバイル端末向けなど多様な分野の各種製品で、業界最高の検知率と最短の対応時間を実現しています。また、Kaspersky の技術は業界を代表する IT セキュリティ製品やソリューションに、広く世界中で採用されています。詳細については http://www.kaspersky.co.jp/ をご覧ください。また、アンチウイルス、アンチスパイウェア、アンチスパムなどIT セキュリティに関する最新情報を http://www.viruslistjp.com/ にて提供しています。