W poprzednim poście wspomniałem ,że napiszę parę słów o MulTrojDisinfector’e (dezynfektor plików multimedialnych zainfekowanych przez trojana GetCodec) i tak też się teraz stanie;).
Dlaczego go napisałem?
Zaczynając analizę GetCodec ,rozpocząłem oczywiście od sprawdzenia jak się sprawy mają w sieci.Standardowo, „kopia kopią kopię pogania” 
, masa news’ów a treść praktycznie ta sama.
To co dało się zaobserwować na różnych forach internetowych to ,że są zainfekowani i nie za bardzo wiedzą jak sobie poradzić z tym problemem. Dlatego właśnie powstał
mały, darmowy MulTrojDisinfector 
.
Jeżeli chodzi o sama budowę aplikacji to składa się ona z trzech głównych części:
- silnika wyszukującego podatne pliki
- dezynfektora
- generatora raportów
Pisząc dezynfektor starałem się go zaplanować przyszłościowo i tak dałem możliwość użytkownikowi dodawania sygnatur złośliwych skryptów do pliku konfiguracyjnego, który znajduje się katalogu %temp%\dis_signatures.ini.
Domyślnie plik zawiera jedna sygnaturę:
[http://isvbr.net?t=3]
,bo tylko taki url udało mi się zaobserwować w zainfekowanych plikach podczas mojego dochodzenia.
Poniżej dwa screen shoty, jeden prezentujący MulTrojDisinfector, a kolejny raport końcowy:
Aplikacje można pobrać stąd:MulTrojDisinfector
MD5…: 914adbbfaae6f87a6f758bf4ba1efd6d
SHA1..: 0861ed42ffc175c668f53050e22baa38d2c5ba04
Enjoy
W lipcu bieżącego roku (2008) pojawił się w sieci trojan nazwany przez większość firm AV
GetCodec (jedynie Symantec się wyłamał i nazwał go niesamowicie intuicyjną nazwą
„Brisv” ) infekujący wybrane pliki multimedialne.
Wstając „rano” pewnego dnia ,zauważyłem w skrzynce mail od szefa zaczynający się od słów:“volunteer? ”. Oczywiście stałem się tym ochotnikiem ,a ja możecie się domyślać mail zawierał prośbę o szczegółową analizę wyżej wymienionego szkodnika. Nie ociągając się ani chwili, z własnej nie przymuszonej woli sporządziłem taką analizę, której rezultat ,możecie pobrać stąd: GetCodec Analysis.
Muszę przyznać ,że cały proces począwszy od analizy do stworzenia dezynfektora
(o którym więcej później) potoczył sie bez żadnych zgrzytów ze względu na niski stopień zaawansowania trojana jak i brak dodatkowych utrudnień (zaciemnień kodu,detekcji VM ,itp).
[=]Zainteresowanie analizą[=]
Jako ,że informacje o malware’e tego typu zawsze odbijają się „szerokim łukiem”, tak tez było im tym razem (chociaż muszę przyznać ,żę aż takiego zainteresowani się nie spodziewałem). Google dla wyrazów GetCodec hispasec Marcin wskazuje na około 251 wyników. IMO całkiem sporo .Chyba najbardziej zainteresowany rezultatem analizy był portal SearchSecurity.com ,który poprosił mnie o odpowiedź na pare dodatkowych pytań m.in.:
- stopień zaawansowania trojana
- ilość infekcji jaką zanotowaliśmy
(całość tego newsa znajduje się tutaj:Researcher disinfects multimedia Trojans).
To chyba na tyle .
Miłego czytania pdf’a.
