Analiza GetCodec

W lipcu bieżącego roku (2008) pojawił się w sieci trojan nazwany przez większość firm AV
GetCodec (jedynie Symantec się wyłamał i nazwał go niesamowicie intuicyjną nazwą
„Brisv” 😉 ) infekujący wybrane pliki multimedialne.
Wstając „rano” pewnego dnia ,zauważyłem w skrzynce mail od szefa zaczynający się od słów:“volunteer? ;)”. Oczywiście stałem się tym ochotnikiem ,a ja możecie się domyślać mail zawierał prośbę o szczegółową analizę wyżej wymienionego szkodnika. Nie ociągając się ani chwili, z własnej nie przymuszonej woli sporządziłem taką analizę, której rezultat ,możecie pobrać stąd: GetCodec Analysis.
Muszę przyznać ,że cały proces  począwszy od analizy do stworzenia dezynfektora
(o którym więcej później)  potoczył sie bez  żadnych zgrzytów ze względu na niski stopień zaawansowania trojana jak i brak dodatkowych utrudnień (zaciemnień kodu,detekcji VM ,itp).

[=]Zainteresowanie analizą[=]

Jako ,że informacje o malware’e tego typu zawsze odbijają się „szerokim łukiem”, tak tez było im tym razem  (chociaż muszę przyznać ,żę aż takiego zainteresowani się nie spodziewałem). Google dla wyrazów GetCodec hispasec Marcin wskazuje na około 251 wyników. IMO całkiem sporo ;).Chyba najbardziej zainteresowany rezultatem analizy był portal SearchSecurity.com ,który poprosił mnie o odpowiedź na pare dodatkowych pytań m.in.:
– stopień zaawansowania trojana
– ilość infekcji jaką zanotowaliśmy
(całość tego newsa znajduje się tutaj:Researcher disinfects multimedia Trojans).

To chyba na tyle ;).

Miłego czytania pdf’a.

Advertisements

~ by Icewall on September 27, 2008.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: