Компании, занимающиеся безопасностью, обнаружили вредоносное ПО, которое крадет файлы с зараженных компьютеров, а затем делает компьютеры бесполезными, перезаписывая их основную загрузочную запись.
Исследователи безопасности исследуют разрушительное вредоносное ПО, способное перезаписывать основная загрузочная запись компьютера, которая, как они подозревают, используется в целевых атаках на определенные компании.
Сообщения о вредоносном ПО Shamoon начали поступать от охранных компаний в четверг. Как и другие вредоносные программы, он крадет информацию, извлекая данные из папок «Пользователи», «Документы и настройки», «System32/Drivers» и «System32/Config» на компьютерах Windows. Однако одной необычной особенностью является то, что он может перезаписывать главную загрузочную запись (MBR) на зараженных машинах, что фактически делает их бесполезными.
Вредоносная программа Shamoon способна перезаписывать основную загрузочную запись компьютера. Изображение предоставлено: Securelist
По данным Symantec, Shamoon, также известный как Disttrack, используется в целевых атаках как минимум на одну организацию в энергетическом секторе.
«Угрозы с такой разрушительной нагрузкой необычны и не типичны для целевых атак», — написала Symantec в своем отчете. блог по вопросам безопасности в пятницу. «Служба безопасности продолжает анализировать эту угрозу и будет публиковать дополнительную информацию по мере ее поступления».
Вредоносная программа состоит из папки размером 900 КБ, содержащей ряд «зашифрованных ресурсов». по данным Лаборатории Касперского. Один из них имеет подписанный драйвер диска от EldoS, поставщика компонентов корпоративной безопасности, который используется компонентами вредоносного ПО для прямого доступа к диску.
Это затрагивает Windows 95, Windows 98, Windows XP, Windows 200, Windows Vista, Windows NT, Windows ME, Windows 7, Windows Server 2003 и Windows Server 2008. Symantec заявила, что обновила свой антивирус для защиты от вредоносного ПО.
В ходе анализа компания по обнаружению вредоносного ПО Seculert пришла к выводу, что Shamoon использует двухэтапную атаку. Сначала он заражает компьютер, подключенный к Интернету, и превращает его в прокси-сервер для обратной связи с сервером управления вредоносным ПО. После этого он распространяется на другие компьютеры в корпоративной сети, крадет информацию, затем выполняет свою полезную нагрузку и уничтожает машины. Наконец, он сообщает об этом внешнему серверу управления.
«Пока неясно, кто стоит за этим нападением», Секулерт написал в своем блоге. «Мы обновим этот блог дополнительной информацией, когда она станет доступной».
Кстати, образцы вредоносного ПО, собранные «Лабораторией Касперского», содержат модуль со строкой заканчивающийся на «Wiper», компания не подозревает, что вирус связан со сложным Flame. вредоносное ПО, как следует из названия. Вместо этого Касперский заявляет, что считает, что вредоносное ПО является работой подражателей.