[simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip]
Categories: Securitate IT

Wiper, un malware foarte periculos

În luna aprilie 2012, o serie de atacuri informatice iniţiate de un program foarte periculos (numit Wiper) au avut ca ţintă computerele conectate la mai multe platforme petroliere din Asia de Sud-Vest.

În mai 2012, la cererea Uniunii Internaţionale a Telecomunicaţiilor (ITU), echipa Kaspersky Lab a început o investigaţie asupra evenimentelor, pentru a determina potenţialul de atac al acestui malware, care ameninţă securitatea globală. Astăzi, experţii Kaspersky Lab au publicat rezultatele analizei digitale („forensic”) a imaginilor hard-disk-urilor, pe care le-au obţinut de pe maşinile atacate de Wiper. Acestea oferă informaţii importante cu privire la metoda foarte eficientă a Wiper de a distruge sistemele, precum şi la capacitatea unică a acestuia de a şterge datele. Cu toate că cercetarea asupra Wiper a dus la descoperirea lui Flame, Wiper nu a fost detectat în timpul analizei şi este, încă, neidentificat.

Între timp, metoda eficientă de a distruge sisteme a încurajat alţi infractori cibernetici să copieze Wiper şi să creeze un alt malware distructiv, precum Shamoon. Acesta din urmă a apărut în August 2012.

Sumar:

Kaspersky Lab confirmă faptul că Wiper este responsabil pentru atacurile lansate împotriva sistemelor IT din Asia de Sud-Vest, în perioada 21 – 30 Aprilie 2012.

Analiza imaginilor de hard-disk ale computerelor distruse de Wiper dezvăluie un tipar specific de ştergere a datelor, împreună cu numele unei componente malware, care începe cu ~D. Aceste descoperiri aduc aminte de Duqu şi Stuxnet, care conţineau, de asemenea, fişiere ale căror nume începea cu ~D, ambele programe periculoase fiind construite pe aceeaşi platformă de atac, cunoscută sub numele de Tilded.

Prin intermediul Kaspersky Security Network (KSN), Kaspersky Lab a început să caute fişiere care începeau cu ~D, pentru a încerca să identifice alte componente Wiper, pe baza legăturii cu platforma Tilded.

În timpul procesului de căutare, Kaspersky Lab a identificat, în Asia de Sud-Vest, un număr semnificativ de fişiere numite ~DEB93D.tmp. Analiza ulterioară a demonstrat faptul că acest fişier aparţinea lui Flame. Aşa a fost descoperit Flame de către Kaspersky Lab.

Cu toate că Flame a fost identificat în timpul căutării lui Wiper, echipa de cercetare a Kaspersky Lab este de părere că Wiper şi Flame sunt două programe periculoase distincte.

Deşi Kaspersky Lab a analizat urme ale infecţiilor cu Wiper, malware-ul propriu-zis rămâne, încă, necunoscut, deoarece nu au mai avut loc alte incidente care să repete tiparul folosit de acesta, iar modulul de protecţie proactivă nu a detectat prezenţa ulterioară a malware-ului.

Wiper a fost foarte eficient şi poate stimula alţi infractori cibernetici să creeze copii ale acestuia, cum este cazul lui Shamoon.

 

Analiza în profunzime a imaginii hard-disk-urilor

 

Analiza imaginii hard-disk-urilor de pe maşinile distruse de Wiper dezvăluie faptul că programul periculos a şters complet informaţiile de pe sistemele-ţintă şi a distrus toate datele ce puteau fi folosite pentru identificarea malware-ului. Fişierele de sistem infectate de Wiper nu permiteau computerelor să repornească şi cauzau o funcţionare necorespunzătoare. Aşadar, pe fiecare computer analizat, nu se mai afla nimic, iar şansa de a recupera orice fel de informaţie era nulă.

Cu toate acestea, analiza Kaspersky Lab a scos la lumină informaţii valoroase, inclusiv tiparul special de ştergere folosit de Wiper, precum şi numele unor componente malware şi, în anumite situaţii, numele fişierelor de tip registru care au fost şterse de pe hard-disk. Acestea din urmă direcţionau către fişiere ale căror nume începea cu ~D.

 

Tiparul unic de ştergere a datelor

 

Mai mult la Kaspersky

 

Share
Publicat de
admin2

Stiri Recente

Conferința de Analiză de Risc – Ediția a V a

Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…

March 5, 2020

The Power of Video 2020

Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…

March 5, 2020

Reținuți pentru complicitate la furt și tâlhărie

La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…

December 20, 2019

De ce să nu folosești rețelele WiFi publice gratuite și ce riști dacă o faci

Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…

December 20, 2019

Atacuri de phishing şi malware, apărute în contextul celui mai nou film din seria ”Star Wars”

Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…

December 20, 2019

Cercetați de polițiști pentru furturi din genți și buzunare

Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…

December 20, 2019