Il suo nome è Ratter e verrà ricordato per aver firmato il primo virus segnalato per Windows CE (riservato a dispositivi di tipo mobile). Ratter fa parte del gruppo 29A VX, già firmatario di un attacco a Symbian OS, ed il worm è già stato ribattezzato Duts.A. La prima segnalazione giunge dai laboratori BitDefender.
Duts.A è un “Proof of Concept“, una dimostrazione di ciò che sarebbe possibile fare con intenzioni poco benefiche. Il worm viene infatti giudicato da Symantec con pericolosità 1, ma deve la propria importanza innanzitutto alla novità rappresentata ed inoltre al rapporto di filiazione con il recente Cabir (virus in grado di colpire i dispositivi “smart phone”).
WinCE.Duts.A ha un peso complessivo di 1520 byte e si segnala all’utente con una “dialog box” nella quale compare la seguente domanda: «Dear User, am I allowed to spread?». Se alla domanda “Sono autorizzato a diffondermi?” si da il proprio assenso cliccando sul tasto preposto, il virus automaticamente si estende a tutti i .exe più grandi di 4096 byte presenti nella cartella.
Microsoft non ha al momento commentato la vicenda ma per le case produttrici ha inizio intenso il lavoro di ricerca attuato al fine di mettere al più presto in sicurezza i dispositivi (prima della scoperta di un potenziale exploit di matrice maligna). Come segnalato da F-Secure, il worm contiene alcuni piccoli riferimenti lasciati nel codice dall’autore:
«This is proof of concept code. Also, i wanted to make avers happy. The situation when Pocket PC antiviruses detect only EICAR file had to end…»
«This code arose from the dust of Permutation City»
Quest’ultima indicazione è di origine letteraria e lega (non casualmente) all’opera “Permutation City” di Reg Egan: il libro dipinge i contorni di un mondo ove ogni uomo ha una copia virtuale di se stesso terrorizzata da un blocco del pc in quanto unica possibile causa di morte della copia stessa.