Onderzoekers hebben een nieuw virus ontdekt dat zich speciaal richt op anti-virus onderzoekers. "Gattman", zoals het virus genoemd wordt, is een proof-of-concept en vormt geen echte dreiging. Het virus verspreidt zich via Interactive Disassembler Pro (IDA), een populaire tool onder anti-virus onderzoekers.
"IDA is een van de populairste "reversing" tools, en wordt gebruikt voor het omzetten van machine code naar leesbare broncode, zodat het gedrag van het programma onderzocht en begrepen kan worden" zegt Paul Ducklin van Sophos.
Het Gattman virus is waarschijnlijk het werk van de virusschrijversbendes het "Ready Rangers Liberation Front" (rRlf) en "The Knight Templars" (TKT). IDC is een script programmeertaal die lijkt op ANSI C, waarmee onderzoekers het gedrag van de IDA tool kunnen aanpassen. Door Gattman geinfecteerde IDC script bestanden maken een Windows bestand dat weer nieuwe IDC bestanden zoekt en infecteert.
Zoals eerder gezegd kan de tool machine code in iets leesbaars vertalen, zoals:
9823a2ec dfe98986 4359e108 e1866fb0 126f2f3d 329a6591 9a01067b
Dat dan wordt weergegeven als:
if day = friday thenGattman is een polymorfisch virus, een techniek die niet veel meer gebruikt wordt. Hierdoor kan het zich aanpassen als het virus zich verspreidt. Zowel het IDC als EXE gedeelte van Gattman kan zichzelf veranderen.
if date = 13 then
repeat 100 times
print "freddy krueger!"
Deze posting is gelocked. Reageren is niet meer mogelijk.