 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 17 Luglio 2004 |
| NOME: Duts.1520 |
| ALIAS: WinCE/Duts.1520, WinCE.Dust, Dtus |
| DIMENSIONE: 1520 bytes |
Descrizione Breve Duts è un virus che infetta i file. È il primo virus conosciuto per la piattaforma di PocketPC. Duts interessa soltanto i dispositivi ARM-based Descrizione dettagliata Duts ha dimensione 1520 bytes, scritto direttamente in assembly per ARM processor. Quando un file infetto viene eseguito il virus chiede il permesso di diffondersi: WinCE4.Dust by Ratter/29A
Una volta ottenuto il permesso, Duts tenta di infettare tutti i file EXE nella directory corrente. Duts infetta soltanto i file più grandi di 4096 byte che non sono ancora stati infettati. Per marcare il file come infetto, il virus scrive la stringa 'atar ' nell' header del file EXE. La procedura di infezione è abbastanza semplice. Il corpo del virus è aggiunto al file e l'ultima sezione è resa leggibile ed eseguibile. L'entry point del file fa' riferimento all'inizio del codice del virus. Duts contiene due messaggi che non sono visualizzati This is proof of concept code. Also, i wanted to make avers happy. Un ulteriore messaggio fà riferimento al libro di fantascienza Permutation City sritto da Greg Egan, da dove il virus ha ottenuto il nome:
This code arose from the dust of Permutation City
Rilevazione Duts viene rilevato con gli aggiornamenti pubblicati il 17 Luglio 2004: Descrizione e analisi: Gergely Erdelyi, 17 Luglio, 2004; F-Secure Corporation |
