Kaspersky Lab, grazie alla collaborazione di utenti e programmatori che hanno fornito i propri feedback, è riuscita a identificare il linguaggio misterioso del pericoloso trojan Duqu collocato all’interno del malware Payload DLL.

Per riuscire nell’operazione Kaspersky Lab due settimane fa aveva fatto una sorta di richiesta pubblica di feedback, ricevendo così oltre 200 commenti e 60 messaggi di posta elettronica che si sono rivelati utili per identificare il linguaggio di programmazione. La sezione del codice misterioso, denominata “Duqu Framework” (la parte che collega il malware ai centri di Command & Control), era costituita da un codice scritto in un linguaggio che non sembrava somigliare a nessuno tra quelli noti.

Tra i molti suggerimenti pervenuti a Kaspersky Lab c’erano LISP e le sue varianti, Delphi, vecchi compilatori C++ e Google Go. Tra i commenti però ce ne sono stati due che si avvicinavano alla risposta corretta: uno indicava SOO (Simple Object Orientation for C), l’altro che invece suggeriva l’utilizzo di MSVC versione 2008.

Dopo varie prove i ricercatori di Kaspersky Lab hanno determinato che il Duqu Framework è scritto in un’estensione personalizzata di “C”, nota come “OO C” (Object Oriented C), compilato con Microsoft Visual Studio 2008 con le opzioni "/O1" (minimize size) e "/Ob1" (expand only __inline) attive.

Dopo aver ritenuto attendibile questa soluzione, Kaspersky Lab ha concluso che, dal momento che una parte del codice del malware è stata creata con tale linguaggio, dietro lo sviluppo di Duqu ci devono essere uno o più programmatori professionisti della vecchia scuola.