Grazie alla collaborazione di utenti e programmatori, i ricercatori di Kaspersky Lab sono riusciti finalmente a identificare il codice sconosciuto inserito all’interno del malware Payload DLL: si tratta del trojan noto come Duqu Framework. Per trovarlo Kaspersky ha sfruttato i feedback inviati dai programmatori e ricevuti in seguito ad una richiesta pubblica.
Duqu è stato scritto in una forma particolare di linguaggio C, compilato con Microsoft Visual Studio 2008. Oltre 200 commenti sul blog di Kaspersky e 60 messaggi di posta elettronica hanno permesso di identificare il linguaggio utilizzato. Duqu si comportava in maniera simile a Stuxnet e, pur essendo stato già analizzato dal giorno della sua scoperta, parte del codice è rimasto un mistero nel tempo.
Nessuno tra i linguaggi noti sembrava assomigliare a quello utilizzato per creare Duqu , con Kaspersky che ha dovuto escludere Objective C, Java, Python, Ada, Lua ed altri, fin quando un utente, identificato come Igor Skochinsky, ha dichiarato che il codice era stato generato con Microsoft Visual Studio. Il linguaggio usato sembra essere una versione personalizzata di C, nota come OO C, con una speciale estensione.
L’uso di questo linguaggio sembra riesca a permettere maggiore controllo sul codice, e garantire al tempo stesso una estrema portabilità. Il linguaggio C, infatti, fornisce ai programmatori un’elevata possibilità di colpire ogni piattaforma esistente, evitando i limiti del C++.
E, come dichiarato dall’esperto di malware Igor Soumenkov, «queste due ragioni indicano che il codice era stato scritto da un team di sviluppatori di grande esperienza della vecchia scuola, che volevano creare un framework personalizzato per supportare una piattaforma altamente flessibile». Forse l’idea degli sviluppatori del trojan era quella di creare un malware che, dopo aver colpito computer e server, riuscisse a penetrare sui telefoni cellulari o su altri tipi di dispositivi: ecco perchè probabilmente il codice era stato creato per funzionare dovunque.