Virus zielt auf Analyse-Software

EnterpriseSicherheit

Mitarbeiter des Sicherheitsunternehmens Sophos haben eine Schadsoftware entdeckt, die speziell auf Software für Virenexperten zielt.

Nach Angaben von Paul Ducklin, Sophos Head of Technology Asia Pacific, liegt der Virus mit der Bezeichnung ‘Gattman’ derzeit als Proof of Concept vor.

Demnach zielt die Schadsoftware auf das Analyse-Tool ‘Interactive Disassembler Pro’ (IDA) des Herstellers Data Rescue. Diese Software beruht auf der Scriptsprache IDC und wird von Virenexperten verwendet, um Malware zu analysieren. IDA sei eines der populärsten Reversing-Programme unter den Virenforschern, sagte Ducklin dem Branchendienst Zdnet Australia. Es diene dazu, den Programmcode der Schadsoftware so aufzuarbeiten, dass er analysiert und verstanden werden kann.

Gelangt Gattman auf einen Windows-PC, startet der Virus eine exe-Datei. Diese sucht nach Dateien, die in IDC geschrieben sind und infiziert sie. Die infizierten Dateien erzeugen wiederum exe-Dateien. Während dieses Prozesses werden sowohl der IDC-Code als auch die exe-Dateien ständig geändert.

Nach Angaben von Sophos könnten Mitglieder der Hacker-Vereinigung ‘Ready Rangers Liberation Front’ oder ‘Knight Templars’ Gattman geschrieben haben. Da nur wenige Anwender das Analyse-Tool IDA einsetzen, sei die Gefahr gering, hieß es. Die Schadsoftware zeige jedoch auch, dass Hacker nach immer neuen Angriffswegen suchen, sagte Ducklin.