Kaspersky Lab dnes zveřejnila výsledky analýzy malwaru Wiper. Ten zaútočil na počítačové systémy několika ropných zařízení na Blízkém východě v dubnu letošního roku. Pátrání po něm vedlo k objevení Flamu. V květnu 2012 tým Kaspersky Lab začal na popud Mezinárodní telekomunikační unie (ITU) incidenty šetřit, aby určil potenciální hrozbu plynoucí z malwaru ohrožujícího systémy spojené s globální bezpečností a stabilitou. (TZ)
Výzkum na základě forenzní analýzy obrazu harddisků z přístrojů napadených malwarem Wiper odhalil vysoce efektivní metodu ničení počítačových systémů, včetně unikátního vzorce mazání dat. I když pátrání po Wiperu vedlo neodvratně k objevení viru Flame, Wipera samotného se objevit nepodařilo a dodnes zůstává neidentifikován. Mezitím ale jeho účinný způsob ničení počítačů inspiroval vznik „napodobenin“. V srpnu se tak například objevil škodlivý kód Shamoon.
Malware Wiper vymazal harddisky napadených systémů a zničil všechna data, která by mohla vést k jeho identifikaci. Soubory malwaru pak poškozenému systému nedovolily restart a způsobily poruchy ve fungování. V napadených přístrojích nezůstalo po aktivaci Wipera téměř nic a nešlo ani obnovit jakákoliv data.
Algoritmus Wipera byl navržen tak, aby zničil co nejvíc souborů co nejefektivněji, což mohly někdy být až gigabyty dat. Tři až čtyři napadené počítače měly data smazána kompletně. Nejdřív byla vymazána polovina disku a poté systematicky zbývající soubory vedoucí nakonec ke zhroucení systému. Ví se také, že Wiper napadal soubory PNF, což by nemělo žádný smysl, pokud by to nesouviselo s mazáním dalších komponent malwaru. Je to zajímavé také proto, že Duqu a Stuxnet měly svou hlavní část zakódovanou právě v souborech PNF.
Shrnutí analýzy Wiperu:
- Kaspersky Lab potvrdila, že Wiper stojí za útoky na počítačové systémy na Blízkém východě
od 21. do 30. dubna 2012. - Analýza obrazu harddisků zničených Wiperem odhalila specifický vzorec mazání dat a také specifický název jeho komponentů začínající na ~D. To připomíná viry Duqu a Stuxnet, jména jejichž souborů také začínala na ~D, a které byly postaveny na shodné útočné platformě známé jako Tilded.
- Kaspersky Lab začala hledat další soubory začínající na ~D skrze Kaspersky Security Network (KSN) s cílem otestovat a najít přídavné soubory Wipera spojené s platformou Tilded.
- Během tohoto procesu identifikovala Kaspersky Lab významné množství souborů pojmenovaných ~DEB93D.tmp. Hlubší analýza ukázala, že jsou součástí jiného malwaru: Flame. Tak Kaspersky Lab objevila Flame.
- Přestože byl Flame objeven během hledání Wiperu, analytici Kaspersky Lab věří, že Wiper i Flame jsou dva rozdílné a vzájemně vzdálené škodlivé programy.
- Ačkoliv Kaspersky Lab analyzovala stopy infekce Wiperu, malware samotný je stále neznámý, protože se neobjevily žádné další incidenty stejného mazání dat, ani žádné další útoky.
Více informací naleznete ve zprávě na blogu Kaspersky Lab Securlist.
O společnosti Kasperky Lab
Kaspersky Lab je největším soukromě vlastněným poskytovatelem koncových bezpečnostních řešení na světě. Společnost se řadí mezi čtyři největší prodejce bezpečnostních řešení pro koncové uživatele.* Již 15 let patří Kaspersky Lab mezi přední inovátory v oblasti informačních technologií a poskytuje efektivní digitální bezpečnostní řešení zíkazníkům, malým a středním firmám i velkým podnikům. Aktuálně společnost působí v bezmála 200 zemích a oblastech a poskytuje ochranu více než 300 milionům uživatelů. Více informací o společnosti Kaspersky Lab najdete na www.kaspersky.com.
*Společnost zařadil na čtvrté místo žebříček „IDC Worldwide Endpoint Security Revenue by Vendor, 2011“. Žebříček vyšel ve zprávě „IDC Worldwide IT Security Products 2012-2016 Forecast and 2011 Vendor Shares – December 2011“ a řadil poskytovatele software podle zisku z prodeje koncových bezpečnostních řešení v roce 2011.