W poprzednim poście wspomniałem ,że napiszę parę słów o MulTrojDisinfector’e (dezynfektor plików multimedialnych zainfekowanych przez trojana GetCodec) i tak też się teraz stanie;).
Dlaczego go napisałem?
Zaczynając analizę GetCodec ,rozpocząłem oczywiście od sprawdzenia jak się sprawy mają w sieci.Standardowo, „kopia kopią kopię pogania” :D, masa news’ów a treść praktycznie ta sama.
To co dało się zaobserwować na różnych forach internetowych to ,że są zainfekowani i nie za bardzo wiedzą jak sobie poradzić z tym problemem. Dlatego właśnie powstał
mały, darmowy MulTrojDisinfector ;).
Jeżeli chodzi o sama budowę aplikacji to składa się ona z trzech głównych części:
– silnika wyszukującego podatne pliki
– dezynfektora
– generatora raportów
Pisząc dezynfektor starałem się go zaplanować przyszłościowo i tak dałem możliwość użytkownikowi dodawania sygnatur złośliwych skryptów do pliku konfiguracyjnego, który znajduje się katalogu %temp%dis_signatures.ini.
Domyślnie plik zawiera jedna sygnaturę:
[http://isvbr.net?t=3]
,bo tylko taki url udało mi się zaobserwować w zainfekowanych plikach podczas mojego dochodzenia.
Poniżej dwa screen shoty, jeden prezentujący MulTrojDisinfector, a kolejny raport końcowy:
Aplikacje można pobrać stąd:MulTrojDisinfector
MD5…: 914adbbfaae6f87a6f758bf4ba1efd6d
SHA1..: 0861ed42ffc175c668f53050e22baa38d2c5ba04
Enjoy 😉
Recent Comments