Перейти к содержанию

Шпионская программа Shamoon стирает MBR, чтобы замести следы


Евгений Малинин

Рекомендуемые сообщения

Антивирусные компании разоблачили очередную таргетированную атаку, на которую неизвестные злоумышленники потратили немало сил, времени и денег. Новому трояну дали название Shamoon, по названию папки, прописанной в исполняемом файле.

C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb

 

«Лаборатория Касперского» присвоила трояну название Trojan.Win32.EraseMBR и Trojan.Win64.EraseMBR.

 

Троян скрывает свою работу от антивирусов и собирает информацию на заражённом компьютере, что выглядит весьма тривиально. Как обычно для таких таргетированных атак, малое количество заражённых машин гарантирует вирусу достаточно долгий срок работы, прежде чем сигнатура попадёт в антивирусные базы данных.

 

В случае с Shamoon внимание исследователей привлёк факт, что программа имеет функциональность стирать файлы и перезаписывать загрузочную область диска (MBR). Это выглядит очень странно, но специалисты из «Лаборатории Касперского» напомнили, что точно такие же странные инциденты со стиранием файлов были зарегистрированы в Иране. После расследования вредоносной программы Wiper обнаружился пресловутый Flame.

 

На этом аналогии не заканчиваются. Шпионская программа Shamoon тоже занимается сбором документов на заражённых компьютерах и отправляет их на внутренний IP-адрес внутри локальной сети, чтобы не привлекать внимание к своей подозрительной активности. Примерно так же работал и Flame. В общем, авторы такого рода программ заимствуют друг у друга продвинутые методы маскировки шпионского ПО.

 

На скриншоте видно, что шпион отправляет пакеты на внутренний IP-адрес 10.1.252.19. Вероятно, там находится прокси-сервер, который уже связывается напрямую с C&C-сервером.

 

Раскрывающийся текст:

shamoon.png

 

 

Что же по поводу стирания файлов и перезаписи MBR, то это может быть просто операция по удалению следов своей активности, которую троян выполняет после сбора данных.

 

Сертификат драйвера, который стирает MBR, подписан компанией EldoS Corporation, как сказано у них на официальном сайте, компания ставит целью «давать людям уверенность относительно безопасности и цельности своей конфиденциальной информации».

 

Раскрывающийся текст:

eldos.png

 

 

В данный момент специалисты не могут сказать, против кого была нацелена атака. «Лаборатория Касперского» говорит, что у них есть всего два образца Shamoon, да и те от специалистов по безопасности, и ни одного факта реальных заражений. С другой стороны, Websense сообщает, что пострадала как минимум одна компания из энергетического сектора, а проактивное детектирование Shamoon/DistTrack началось с 13 декабря 2010 года.

 

Источник: http://www.xakep.ru/post/59182/

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ska79
      От ska79
      В сети пишут что после конвертации mbr в gpt может не загрузиться ОС,
      Возможно ли конвертировать mbr в gpt без потери данных (без необходимости переустановки\ в режиме обновления ОС,)? 
      В системе 4 физических накопителя - 2hdd, 2ssd.
      ssd на котором становлена ОСь разбит на 4 раздела
    • KL FC Bot
      От KL FC Bot
      Группа исследователей безопасности обнаружила серьезную уязвимость в веб-портале, принадлежащем южнокорейскому автопроизводителю Kia, которая позволяла удаленно взламывать автомобили и следить за их владельцами. При этом, по сути, для взлома достаточно было всего лишь знать автомобильный номер потенциальной жертвы. Рассказываем подробнее об этой уязвимости.
      Слишком подключенные автомобили
      Не все об этом задумываются, но автомобили за последние пару десятилетий превратили в очень большие компьютеры на колесах. Даже не самые «умные» из них под завязку напичканы всевозможной электроникой и оборудованы целой кучей датчиков — от сонаров и видеокамер до датчиков движения и GPS.
      В последние же годы автомобили — это чаще всего не просто компьютеры, но компьютеры, постоянно подключенные к Интернету, со всеми вытекающими последствиями. Не так давно мы уже писали о том, как современные автомобили собирают массу данных о своих владельцах и передают их автопроизводителям. А также о том, как автоконцерны продают собранные данные другим компаниям, в частности страховщикам.
      Но у этой проблемы есть также и другая сторона. Постоянное подключение автомобиля к Интернету означает, что при наличии уязвимостей — как в самом автомобиле, так и в облачной системе, с которой он коммуницирует — кто-нибудь может ими воспользоваться для взлома и слежки за владельцем авто без ведома автопроизводителя.
      Так называемое «головное устройство» автомобиля — это лишь верхушка айсберга, на самом деле электроники в современных авто гораздо больше
       
      View the full article
    • Камиль Махмутянов
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • MiStr
      От MiStr
      Результаты участников программы:
       
      2018 год
       
      2019 год
       
      2020 год
       
      2021 год

      2022 год

      2023 год

      2024 год
    • MiStr
      От MiStr
      Здесь принимаются заявки на участие и проходит обсуждение программы «Развитие сообществ клуба в мессенджерах».
×
×
  • Создать...