الصراع مستمر : كشف مصدر شفرة حصان طروادة

في فصل جديد من صراع الخير والشر ، أو الفايروسات والبرامج المضادة لها ، ناشدت كاسبرسكي لاب مؤخرا المبرمجين للمساعدة في حل أكثر المسائل غموضا تتعلق بحصان طروادة Duqu، وهو التعرف على بنية مشفرة مجهولة داخل قطاع من Payload DLL للبرنامج الخبيث. وكان قطاع الشيفرة المجهول والمسمى بـDuqu Framework جزءا من Payload DLL ويعد مسؤولا عن التفاعل مع خوادم C&C بعد أن يقوم حصان طروادة بإصابة الحاسب.

وبعد تحليل عدد كبير من ردود المبرمجين من جميع أنحاء العالم، أشار خبراء كاسبرسكي لاب بدرجة كبيرة من الثقة إلى أن Duqu Framework يتكون من شيفرة المصدر مكتوبة بلغة ” C” المرفقة بـMicrosoft Visual Studio 2008 وخيارات خاصة لتفعيل حجم الشيفرة والدمج. إلى جانب ذلك استخدمت في تطوير الشيفرة إضافة معدلة لتجمع البرمجة كائنية المنحى مع لغة C والتي يشار إليها غالبا بـ”OO C”.

و أضاف الخبراء أن هذا النوع من البرمجة المنزلية معقد للغاية وعادة ما نجده في المشاريع البرمجية “المدنية” المعقدة بخلاف البرمجيات الخبيثة الراهنة. وبرأيهم ليس من السهل توضيح سبب استخدام OO C بدلا من C++ في Duqu Framework، إلا أن خبراء كاسبرسكي لاب يرون سببين معقولين لذلك:

مراقبة أكبر على الشيفرة: عندما نشرت C++ فضّل الكثير من المبرمجين القدامى عدم استخدامه وذلك جراء شكهم في جدوى تحكمه بالذاكرة وغيرها من الخصائص المجهولة للغة والتي تؤدي إلى التنفيذ غير المباشر للشيفرة. OO C توفر نظاما موثوقا أكثر مع إمكانية أقل لحدوث تصرفات غير متوقعة.