|
Тези дни, един нов вид заплаха, наречен Shamoon, създава главоболия на антивирусните разработчици по света. Shamoon може да унищожи файловете, които се намират на компютъра ви и да пренапише главния стартиращ запис (master boot record, MBR). Специалистите се чудят каква би могла да му е целта и защо създателите му биха искали да разрушат инфектираните компютри.
Новината за въпросната заплаха се появи вчера, когато антивирусните специалисти от Kasperksy Lab заявиха, че са анализирали няколко семпли, които са притежавали странни и озадачаващи характеристики. Един от модулите съдържа стринг, който включва думата "wiper", нещо, което може да причисли заплахата към открития по-рано тази година Wiper или Skywiper. Неговата функция беше да трие файлове от компютъра, но според специалистите, двете заплахи не са свързани.
Ето какво заявяват специалистите от Kasperksy Lab:
"Мнението ни, базиращо се на наблюдението над няколко машини, инфектирани с Wiper е, че той няма връзка с Shamoon. Оригиналният Wiper използваше имена на услуги (“RAHD...”), заедно със специфични имена за драйверите си (“%temp%~dxxx.tmp”). Нещо, което не наблюдаваме тук. Така също, оригиналният Wiper използваше определени методи да изтрива съдържанието на дисковете, което не виждаме тук."
Нещо повече, разработчици от компанията за информационна сигурност Seculert са открили, че въпросната заплаха не само трие файловете, но също и има способността да пренапише главния стартиращ запис на инфектираните машини, което би направили от компютрите просто непотребна пластмаса. Разработчиците са забелязали и нещо друго, което ги е озадачило: преди Shamoon да започне да изпълнява дейността си, той събира информация от различни файлове от инфектираната машина и предава тази информация на друг инфектиран компютър, който се намира на същата вътрешна мрежа. Това е объркало специалистите, които смятат, че това не е случайно.
"Атакуващата страна поема контрол над вътрешна машина, свързваща се директно към Интернет и използва машината, като прокси, насочено към външен С&С-сървър. Посредством него, атакуващият заразява и другите машини във вътрешната мрежа, които може да не се свързват директно към Интернет", съобщава Авив Раф, специалист от Seculert CTO. След като получи нужната му информация от заразения от Shamoon компютър, атакуващият изпълнява инструкциите по триене на информацията, която се намира на инфектирания компютър и пренаписват стартиращия запис, след които компютърът връща комуникацията към С&С-сървъра чрез вътрешно прокси.
Според специалистите по компютърна безопасност, Shamoon би могъл спокойно да се включи към шпионските вируси, станали известни наскоро. |
|
