W lipcu bieżącego roku (2008) pojawił się w sieci trojan nazwany przez większość firm AV
GetCodec (jedynie Symantec się wyłamał i nazwał go niesamowicie intuicyjną nazwą
„Brisv” 😉 ) infekujący wybrane pliki multimedialne.
Wstając „rano” pewnego dnia ,zauważyłem w skrzynce mail od szefa zaczynający się od słów:“volunteer? ;)”. Oczywiście stałem się tym ochotnikiem ,a ja możecie się domyślać mail zawierał prośbę o szczegółową analizę wyżej wymienionego szkodnika. Nie ociągając się ani chwili, z własnej nie przymuszonej woli sporządziłem taką analizę, której rezultat ,możecie pobrać stąd: GetCodec Analysis.
Muszę przyznać ,że cały proces począwszy od analizy do stworzenia dezynfektora
(o którym więcej później) potoczył sie bez żadnych zgrzytów ze względu na niski stopień zaawansowania trojana jak i brak dodatkowych utrudnień (zaciemnień kodu,detekcji VM ,itp).
[=]Zainteresowanie analizą[=]
Jako ,że informacje o malware’e tego typu zawsze odbijają się „szerokim łukiem”, tak tez było im tym razem (chociaż muszę przyznać ,żę aż takiego zainteresowani się nie spodziewałem). Google dla wyrazów GetCodec hispasec Marcin wskazuje na około 251 wyników. IMO całkiem sporo ;).Chyba najbardziej zainteresowany rezultatem analizy był portal SearchSecurity.com ,który poprosił mnie o odpowiedź na pare dodatkowych pytań m.in.:
– stopień zaawansowania trojana
– ilość infekcji jaką zanotowaliśmy
(całość tego newsa znajduje się tutaj:Researcher disinfects multimedia Trojans).
To chyba na tyle ;).
Miłego czytania pdf’a.