Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Shamoon the Wiper - naśladowcy w akcji

Dodany 3 września 2012, 09:33 CEST
Tagi:

Od naszych kolegów z innej firmy antywirusowej otrzymaliśmy ciekawą kolekcję próbek.

Próbki te są interesujące, ponieważ zawierają moduł z następującym ciągiem:

C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb

Naturalnie, słowo “wiper” natychmiast przywodzi na myśl irańskie incydenty czyszczenia komputerów z kwietnia 2012 r., które doprowadziły do wykrycia Flame’a.

Szkodliwy program jest plikiem PE o rozmiarze 900KB zawierającym wiele zaszyfrowanych zasobów:

Shamoon resources

Zasoby 112, 113 oraz 116 zostały zaszyfrowane przy użyciu 4-bajtowej operacji XOR. Klucze deszyfracji, łącznie z innym zasobem z jednego z plików binarnych, to:

{ 0x25, 0x7f, 0x5d, 0xfb}
{ 0x17, 0xd4, 0xba, 0x00}
{ 0x5c, 0xc2, 0x1a, 0xbb}
{ 0x15, 0xaf, 0x52, 0xf0}

Szkodnik prawdopodobnie gromadzi informacje o “interesujących” plikach w zainfekowanym systemie:

dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i download 2>nul >f1.inf
dir "C:\Documents and Settings\" /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul  | findstr -i download 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul  | findstr -i document 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul  | findstr -i picture 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul  | findstr -i video 2>nul >>f1.inf
dir C:\Users\ /s /b /a:-D 2>nul  | findstr -i music 2>nul >>f1.inf
dir "C:\Documents and Settings\" /s /b /a:-D 2>nul  | findstr -i desktop 2>nul >f2.inf
dir C:\Users\ /s /b /a:-D 2>nul  | findstr -i desktop 2>nul >>f2.inf
dir C:\Windows\System32\Drivers /s /b /a:-D 2>nul >>f2.inf
dir C:\Windows\System32\Config /s /b /a:-D 2>nul | findstr -v -i systemprofile 2>nul >>f2.inf
dir f1.inf /s /b 2>nul >>f1.inf
dir f2.inf /s /b 2>nul >>f1.inf

Wewnątrz zasobu 112 istnieje inny zasób (101) zawierający podpisany sterownik dysku:

Sterownik dysku nie wygląda na szkodliwy. Jest jednak wykorzystywany do uzyskiwania dostępu do dysku przez komponenty szkodliwego oprogramowania w celu wyczyszczenia MBR-ów zainfekowanych systemów.

Co ciekawe, sterownik jest podpisany przez EldoS Corporation, firmę, której misją, jak głosi na swojej stronie, jest „pomaganie ludziom, tak aby mieli pewność co do integralności i bezpieczeństwa cennych informacji”.

Ponadto:

EldoS Corporation jest międzynarodową firmą specjalizującą się w rozwoju komponentów oprogramowania związanego z bezpieczeństwem dla rynku korporacyjnego oraz producentów oprogramowania.

Naturalnie, powstaje pytanie: „Czy jest to szkodliwy program znany jako Wiper, który atakował Iran w kwietniu 2012 r.”

Naszym zdaniem, sformułowanym na podstawie zbadania kilku systemów zaatakowanych przez oryginalnego Wipera, nie jest. Oryginalny „Wiper” stosował określone nazwy usług (“RAHD...”) wraz z określonymi nazwami plików dla swoich sterowników (“%temp%\~dxxx.tmp”), które nie zostały zidentyfikowane w tym szkodliwym oprogramowaniu. Ponadto, oryginalny Wiper wykorzystywał określony schemat czyszczenia dysków, który również nie jest stosowany przez opisywanego szkodnika.

Prawdopodobnie jest to imitacja, dzieło dzieciaków skryptowych zainspirowanych historią Wipera. Obecnie rzadko spotyka się destrukcyjne szkodliwe oprogramowanie; głównym celem cyberprzestępców jest zysk finansowy. Przypadki podobne do opisywanego nie występują często.

Wykrywamy 32-bitowe komponenty tego szkodliwego oprogramowania jako Trojan.Win32.EraseMBR.a. Komponent 64-bitowy jest wykrywany jako Trojan.Win64.EraseMBR.a. Przy użyciu heurystyki wykryliśmy proaktywnie głównego droppera jako "HEUR:Trojan.Win32.Generic".

PS: nie jesteśmy pewni, co znaczy „Shamoon”. Być może jest to odniesienie do Shamoon College of Engineering http://www.sce.ac.il/eng/. Lub po prostu imię jednego z twórców tego szkodnika. Shamoon to arabski odpowiednik Simona.