* Researchers Seek Help in Solving DuQu Mystery Language

 Date : 13 Mars 2012

 Criticité : Moyenne

 Description : De nombreux chercheurs se sont penchés sur le code du malware DuQu (voir CXA-2011-1779, CXA-2012-0012). Cependant un des modules reste un mystère et l’équipe de Kaspersky vient de demander de l’aide aux chercheurs du monde entier pour élucider cette énigme.

Le module en question permet au malware de communiquer avec un serveur de contrôle. Lors du "reverse engineering" de ce module, les chercheurs de Kaspersky ne sont pas parvenus à identifier le langage de programmation utilisé pour le développer. Alors que les autres parties du code de DuQu sont développées en C++ et compilées sous Visual Studio C++ 2008, ce module semble avoir été programmé dans un langage peu connu ou spécifique à un domaine.

Le laboratoire Kaspersky espère qu’au sein de la communauté de programmeur, quelqu’un reconnaisse le langage de programmation utilisé.

Au vu de la taille du code de DuQu, il est possible que le module ait été développé par un autre groupe que celui qui a développé le code principal du malware.

Aux dernières nouvelles, il se pourrait que le module en question ait été développé en COS (C Object System), un framework développé en Suisse au CERN par le département "Accelerator Technologies Department" pour simplifier le développement de logiciel scientifique. Cependant, de très nombreux internautes ont répondu à l’invitation de Kaspersky, et de nombreuses autres propositions ont été faites quant au framework de développement utilisé. Pour le moment, aucune certitude ne semble avoir émergé.

 Référence :

http://www.wired.com/threatlevel/20...

http://www.securelist.com/en/blog/6...

http://www.mediafire.com/?yvm5kainm...

https://cert.xmco.fr/veille/client/...

https://cert.xmco.fr/veille/client/...

 Lien extranet XMCO :

https://cert.xmco.fr/veille/client/...