Otkriven još jedan malver koji briše sve fajlove sa računara

Vesti, 18.12.2012, 10:20 AM

Na računarima u Iranu pronađen je novi malver koji briše cele particije i sve fajlove koji se nalaze na računaru, upozorio je u nedelju iranski CERTCC (Computer Emergency Response Team Coordination Center).

Prema podacima CERTCC, reč je o ciljanim napadima, ali ne tako sofisticiranim kakvi su bili raniji napadi malvera koji su pogađali ovaj region. Ipak, uprkos jednostavnosti malvera, on je veoma efikasan i može obrisati particije diska i korisničke profile a da pri svemu tome ostane izvan dometa radara antivirusnog softvera instaliranog na računaru.

Nekoliko kompanija koje se bave zaštitom od virusa potvrdile su postojanje malvera.

Malver je dizajniran tako da obriše sve podatke sa particija od D do I, kao i fajlove koji se nalaze na desktopu trenutno prijavljenog korisnika, potvrdili su stručnjaci Symantec-a u ponedeljak.

Malver briše podatke prema određenim datumima, a sledeći zakazani termin za brisanje fajlova sa zaraženih računara je 21. januar sledeće godine. U kodu malvera pronađeni su datumi 12. oktobar, 12. novembar i 12. decembar 2012., što ukazuje da se malver aktivno distribuira najmanje dva meseca.

Instalacioni fajl malvera je dropper nazvan GrooveMonitor.exe. Naziv fajla je verovatno odabran zbog toga što bi u normalnim okolnostima bio doveden u vezu sa Microsoft Office Groove.

Analiza stručnjaka firme AlienVault otrkiva još neke detalje o malveru. Kada se pokrene instaler malvera, on dodaje unos u registry bazu koji obezbeđuje prisustvo malvera i u slučaju restartovanja sistema i kreira batch fajl koji sadrži rutinu za brisanje podataka.

Zbog toga što koristi batch fajlove, skripte koje izvršava Windows shell, malver je nazvan „Batchwiper“.

Još uvek je nejasno kako se malver distribuira. Dropper malvera bi mogao biti isporučen na nakoliko načina, od spear fišing emailova, preko zaraženih USB diskova, preuzimanjem od strane drugih malvera kojima su već zaraženi računari, ili učešćem insajdera.

Iako se ne radi o sofisticiranom malveru, on je u stanju da prouzrokuje priličnu štetu, procenjuju stručnjaci.

Batchwiper nije prvi ovakav malver koji je otkriven u regionu Bliskog Istoka. Ranije ove godine, istraga u vezi jednog misterioznog malvera koji je uništio podatke na serverima iranskog energetskog sektora dovela je do otkrića malvera za visokotehnološku špijunažu Flame-a.

U avgustu je otkriven još jedan malver sa kapacitetima za brisanje podatak nazvan Shamoon koji je korišćen u napadima na nacionalnu naftnu kompaniju Saudijske Arabije Saudi Aramco prilikom kojih je oštećeno preko 30000 sistema kompanije.

Kaspersky Lab čiji stručnjaci upravo analiziraju malver saopštio je da preliminarne analize pokazuju da se ne radi o kompleksnom malveru i da, kako se čini, on nije povezan sa malverima Wiper i Shamoon koji su otkriveni ranije ove godine.