Na računalima u Iranu pronađen je novi malver koji briše cijele particije i sve datoteke koje se nalaze na računalu, upozorio je u nedjelju iranski CERTCC (Computer Emergency Response Team Coordination Center). Prema podacima CERTCC, riječ je o ciljanim napadima, ali ne tako sofisticiranim kakvi su bili raniji napadi malvera koji su pogađali ovu regiju.
Ipak, usprkos jednostavnosti malvera, on je jako efikasan i može obrisati particije diska i korisničke profile, a da pri svemu tome ostane izvan dometa radara antivirusnog softvera instaliranog na računalu.
Nekoliko kompanija koje se bave zaštitom od virusa potvrdile su postojanje malvera.
Malver je dizajniran tako da obriše sve podatke s particija od D do I, kao i datoteke koji se nalaze na desktopu trenutno prijavljenog korisnika, potvrdili su stručnjaci Symantec-a u ponedjeljak.
Malver briše podatke prema određenim datumima, a sljedeći zakazani termin za brisanje datoteka sa zaraženih računala je 21. siječnja 2013 godine. U KOD-u malvera pronađeni su datumi 12. listopad, 12. studeni i 12. prosinac 2012., što pokazuje da se malver aktivno distribuira najmanje dva mjeseca.
Instalacijska datoteka malvera je dropper nazvan GrooveMonitor.exe. Naziv datoteke je vjerojatno odabran zbog toga što bi u normalnim okolnostima bio doveden u vezu s Microsoft Office Groove.
Analiza stručnjaka firme AlienVault otkriva još neke detalje o malveru. Kada se pokrene instalacija malvera, on dodaje unos u registry bazu koji osigurava prisustvo malvera i u slučaju restartanja sistema i kreira batch datoteku koja sadrži rutinu za brisanje podataka.
Zbog toga što koristi batch datoteku, skripte koje izvršava Windows shell, malver je nazvan "Batchwiper".
Još uvijek je nejasno kako se malver distribuira. Dropper malvera bi mogao biti isporučen na nekoliko načina, od spear phishing emailova, preko zaraženih USB diskova, preuzimanjem od strane drugih malvera kojima su već zaražena računala ili učešćem insajdera.
Iako se ne radi o sofisticiranom malveru, on je u stanju da prouzroči priličnu štetu, procjenjuju stručnjaci.
Batchwiper nije prvi ovakav malver koji je otkriven u regiji Bliskog Istoka. Ranije ove godine, istraga u vezi jednog misterioznog malvera koji je uništio podatke na serverima iranskog energetskog sektora dovela je do otkrića malvera za visokotehnološku špijunažu Flame-a.
U kolovozu je otkriven još jedan malver s kapacitetima za brisanje podataka nazvan Shamoon koji je korišten u napadima na nacionalnu naftnu kompaniju Saudijske Arabije Saudi Aramco prilikom kojih je oštećeno preko 30000 sistema kompanije.
Kaspersky Lab, čiji stručnjaci upravo analiziraju malver, priopćio je da preliminarne analize pokazuju da se ne radi o kompleksnom malveru i da, kako se čini, on nije povezan s malverima Wiper i Shamoon koji su otkriveni ranije ove godine.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.