Dopo il sasso gettato da Dr.Web nel vasto oceano della sicurezza informatica, molte società di antivirus sono corse ai ripari aggiungendo la signature per identificare questo virus file-infector.

Tra chi ha aggiunto velocemente l’individuazione del virus, chi è riuscito immediatamente a capirlo ed analizzarlo, fatto sta che solo pochi giorni fa la maggior parte delle società è riuscita a scrivere una signature efficace al 100% contro tutte le varianti del virus, mentre solo poche ancora hanno scritto un removal tool funzionante che non corrompa i files – quelli che non sono già corrotti ovviamente.

Interessante è stata la veloce analisi fornita dal mio amico Mike – Micheal St. Neitzel, attualmente ricercatore per Frisk – nel proprio blog av-experts.

Mike ha esposto un chiaro concetto: “Ehi, ma che diavolo dite tutti quanti? Questo virus non è neanche paragonabile a vecchi virus quali ZMist! L’individuazione del virus non è per niente difficile. Un pò più difficile è la rimozione” 😀 Mike ha poi mostrato un pezzo del codice del virus:

seg005:0042943C sub_42943C proc near ; CODE XREF: .text:004041BBp seg005:0042943C ; .text:004041E9p …
seg005:0042943C push ebp
seg005:0042943D mov ebp, esp
seg005:0042943F sub esp, 10h
seg005:00429442 pusha
seg005:00429443 btc dword_41B97E, 1Dh
seg005:0042944B btc dword_41BAA2+1, 0Dh
seg005:00429453 mov dword_41B92F, eax
seg005:00429458 adc dh, dl

La funzione Push All Registers, in quella sezione del file, chiamata dalla sezione .text, segna l’inizio del codice del virus.

Da poco dunque il virus è totalmente individuato da:

Avast, Antivir, BitDefender, DrWeb, F-Secure, Kaspersky, McAfee, VBA32, VirusBuster.

(stando al test fatto da Andreas Marx di AV-TEST)