Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шпионская программа Shamoon стирает MBR, чтобы замести следы

Евгений Малинин

Автор Евгений Малинин
в Жизнь «Лаборатории Касперского»

 Поделиться

Рекомендуемые сообщения

Евгений Малинин Ветеран

Евгений Малинин

Опубликовано
Опубликовано

Антивирусные компании разоблачили очередную таргетированную атаку, на которую неизвестные злоумышленники потратили немало сил, времени и денег. Новому трояну дали название Shamoon, по названию папки, прописанной в исполняемом файле.

C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb

 

«Лаборатория Касперского» присвоила трояну название Trojan.Win32.EraseMBR и Trojan.Win64.EraseMBR.

 

Троян скрывает свою работу от антивирусов и собирает информацию на заражённом компьютере, что выглядит весьма тривиально. Как обычно для таких таргетированных атак, малое количество заражённых машин гарантирует вирусу достаточно долгий срок работы, прежде чем сигнатура попадёт в антивирусные базы данных.

 

В случае с Shamoon внимание исследователей привлёк факт, что программа имеет функциональность стирать файлы и перезаписывать загрузочную область диска (MBR). Это выглядит очень странно, но специалисты из «Лаборатории Касперского» напомнили, что точно такие же странные инциденты со стиранием файлов были зарегистрированы в Иране. После расследования вредоносной программы Wiper обнаружился пресловутый Flame.

 

На этом аналогии не заканчиваются. Шпионская программа Shamoon тоже занимается сбором документов на заражённых компьютерах и отправляет их на внутренний IP-адрес внутри локальной сети, чтобы не привлекать внимание к своей подозрительной активности. Примерно так же работал и Flame. В общем, авторы такого рода программ заимствуют друг у друга продвинутые методы маскировки шпионского ПО.

 

На скриншоте видно, что шпион отправляет пакеты на внутренний IP-адрес 10.1.252.19. Вероятно, там находится прокси-сервер, который уже связывается напрямую с C&C-сервером.

 

Раскрывающийся текст:

  Показать контент

 

 

Что же по поводу стирания файлов и перезаписи MBR, то это может быть просто операция по удалению следов своей активности, которую троян выполняет после сбора данных.

 

Сертификат драйвера, который стирает MBR, подписан компанией EldoS Corporation, как сказано у них на официальном сайте, компания ставит целью «давать людям уверенность относительно безопасности и цельности своей конфиденциальной информации».

 

Раскрывающийся текст:

  Показать контент

 

 

В данный момент специалисты не могут сказать, против кого была нацелена атака. «Лаборатория Касперского» говорит, что у них есть всего два образца Shamoon, да и те от специалистов по безопасности, и ни одного факта реальных заражений. С другой стороны, Websense сообщает, что пострадала как минимум одна компания из энергетического сектора, а проактивное детектирование Shamoon/DistTrack началось с 13 декабря 2010 года.

 

Источник: http://www.xakep.ru/post/59182/

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как за вами следят через смартфоны на самом деле | Блог Касперского
      Автор KL FC Bot
      Легенды гласят, что наши смартфоны нас подслушивают. Оказывается, делать им это совсем не обязательно — информации, которую передают брокерам данных практически все установленные на вашем смартфоне приложения, от игр до прогноза погоды, с лихвой достаточно, чтобы составить на вас полное досье. И если долгое время под «слежкой в Интернете» подразумевалось, что поисковые и рекламные системы — а с ними и рекламодатели — знают, на какие сайты вы ходите, то с появлением смартфонов ситуация изменилась к худшему — теперь рекламодатели знают, куда вы ходите физически и как часто. Как у них это получается?
      Каждый раз, когда любое мобильное приложение собирается показать рекламу, за ваше внимание проходит молниеносный аукцион, определяющий на основании переданных с вашего смартфона данных, какую именно рекламу вам покажут. И, хотя вы видите только рекламу победителя, данные о потенциальном зрителе, то есть о вас, получают все участники торгов. Недавно поставленный эксперимент наглядно показал, как много компаний получают эту информацию, насколько она детализирована и как мало помогают защититься встроенные в смартфоны опции «Не отслеживать меня», «Не показывать персонализированную рекламу» и аналогичные. Но мы все же посоветуем способы защиты!
      Какие данные пользователя получают рекламодатели
      Все мобильные приложения устроены по-разному, но большинство из них начинают «сливать» данные в рекламные сети еще до того, как показать какую-либо рекламу. В вышеописанном эксперименте мобильная игра сразу же после запуска отослала в рекламную сеть Unity Ads обширный набор данных:
      информацию о смартфоне, включая версию ОС, уровень заряда батареи, уровень яркости и громкости, количество свободной памяти; данные о сотовом операторе; тип подключения к Интернету; полный IP-адрес устройства; код «вендора», то есть производителя игры; уникальный код пользователя (IFV) — идентификатор для рекламной системы, привязанный к производителю игры; еще один уникальный код пользователя (IDFA/AAID) — идентификатор для рекламной системы, единый для всех приложений на смартфоне; текущую геолокацию; согласие на рекламную слежку (да/нет). Интересно то, что геолокация передается, даже если она целиком отключена на смартфоне. Правда, приблизительная, вычисленная на базе IP-адреса. Но с учетом имеющихся в общем доступе баз соответствия физических и интернет-адресов, это может быть достаточно точно — с точностью до района города или даже дома. Если же геолокация включена и разрешена приложению, передаются точные данные.
      Согласие на рекламную слежку в описанном случае было передано как «Пользователь согласен», хотя автор эксперимента такого согласия не давал.
       
      View the full article
    • MiStr
      Результаты участников программы «Амбассадоры бренда Kaspersky»
      Автор MiStr
      Результаты участников программы:
       
      2018 год
       
      2019 год
       
      2020 год
       
      2021 год

      2022 год

      2023 год

      2024 год

      2025 год
    • KL FC Bot
      Что произойдет с компьютером, если скачать пиратскую программу | Блог Касперского
      Автор KL FC Bot
      Что вы делаете, когда нужно скачать программу, но возможности купить официальную лицензию пока нет? Правильный ответ: «Выбираю пробную версию» или «Ищу бесплатные аналоги». Неправильный: «Ищу в поисковике взломанную версию необходимого ПО».
      Альтернативные неизвестные источники зачастую предлагают взломанную версию программы… и еще кое-что. В итоге пользователь, продираясь сквозь напичканные рекламой сайты, зачастую все-таки получает нужную программу (чаще всего — без возможности последующего обновления и сетевых функций), а в довесок — майнер, стилер или что еще туда положили хакеры.
      Сегодня на примере реальных кейсов расскажем, что не так с ресурсами, которые предлагают скачать любое ПО здесь и сейчас.
      Майнер и стилер на SourceForge
      SourceForge — это некогда крупнейший сайт, посвященный Open Source, в некотором смысле прародитель GitHub. Но не подумайте плохого: сейчас SourceForge по-прежнему активен, он предоставляет услуги хостинга и распространения программного обеспечения. На сайте софт-портала большое количество проектов, при этом любой желающий может загрузить туда свой.
      И эта возможность, как и в случае с GitHub, — камень преткновения на пути к высокому уровню безопасности. Рассмотрим лишь один пример: наши эксперты обнаружили на SourceForge проект с названием officepackage. На первый взгляд выглядит безобидно: понятное описание, хорошее название и даже один положительный отзыв.
      Страница officepackage на софт-портале SourceForge
      А если мы скажем, что описание и файлы полностью скопированы с чужого проекта на GitHub? Уже подозрительно! При этом никаких зловредов при клике на кнопку Скачать загружено не будет — проект условно чистый. Условно, потому что вредоносная нагрузка распространялась не напрямую через проект officepackage, а через ассоциированную с ним веб-страницу. Но как это возможно?
      Дело в том, что каждый проект, созданный на SourceForge, получает свое доменное имя и хостинг на сайте sourceforge.io. Так, проект с названием officepackage получит веб-страницу по адресу officepackage.sourceforge[.]io. Подобные страницы великолепно индексируются поисковиками и зачастую занимают топовые места в выдаче. Именно таким образом злоумышленники и привлекают жертв.
       
      View the full article
    • ska79
      Конвертация mbr в gpt
      Автор ska79
      В сети пишут что после конвертации mbr в gpt может не загрузиться ОС,
      Возможно ли конвертировать mbr в gpt без потери данных (без необходимости переустановки\ в режиме обновления ОС,)? 
      В системе 4 физических накопителя - 2hdd, 2ssd.
      ssd на котором становлена ОСь разбит на 4 раздела
    • misska
      Проверка на вирусы, шпионы, кейлоггеры, сталкерская программа
      Автор misska
      Добрый день,
       
      моя система взломана: есть доступ к монитору, все видится, считывается, злоумышленник знает все пароли от соц. сетей, мессенджера и пр.
      В мессенджере, в настройках безопасности, чужие (другие) устройства не отображаются, все - только мои.
      Антивирус вирусов не обнаруживает, но просит закрыть какой-то порт...
       
      Внизу прилагаются отчеты
       
       

      CollectionLog-2025.02.22-18.18.zip
×
×
  • Создать...