Антивирусные компании разоблачили очередную таргетированную атаку, на которую неизвестные злоумышленники потратили немало сил, времени и денег. Новому трояну дали название Shamoon, по названию папки, прописанной в исполняемом файле.
C:\Shamoon\ArabianGulf\wiper\release\wiper.pdb
«Лаборатория Касперского» присвоила трояну название Trojan.Win32.EraseMBR и Trojan.Win64.EraseMBR.
Троян скрывает свою работу от антивирусов и собирает информацию на заражённом компьютере, что выглядит весьма тривиально. Как обычно для таких таргетированных атак, малое количество заражённых машин гарантирует вирусу достаточно долгий срок работы, прежде чем сигнатура попадёт в антивирусные базы данных.
В случае с Shamoon внимание исследователей привлёк факт, что программа имеет функциональность стирать файлы и перезаписывать загрузочную область диска (MBR). Это выглядит очень странно, но специалисты из «Лаборатории Касперского» напомнили, что точно такие же странные инциденты со стиранием файлов были зарегистрированы в Иране. После расследования вредоносной программы Wiper обнаружился пресловутый Flame.
На этом аналогии не заканчиваются. Шпионская программа Shamoon тоже занимается сбором документов на заражённых компьютерах и отправляет их на внутренний IP-адрес внутри локальной сети, чтобы не привлекать внимание к своей подозрительной активности. Примерно так же работал и Flame. В общем, авторы такого рода программ заимствуют друг у друга продвинутые методы маскировки шпионского ПО.
На скриншоте видно, что шпион отправляет пакеты на внутренний IP-адрес 10.1.252.19. Вероятно, там находится прокси-сервер, который уже связывается напрямую с C&C-сервером.
Что же по поводу стирания файлов и перезаписи MBR, то это может быть просто операция по удалению следов своей активности, которую троян выполняет после сбора данных.
Сертификат драйвера, который стирает MBR, подписан компанией EldoS Corporation, как сказано у них на официальном сайте, компания ставит целью «давать людям уверенность относительно безопасности и цельности своей конфиденциальной информации».
В данный момент специалисты не могут сказать, против кого была нацелена атака. «Лаборатория Касперского» говорит, что у них есть всего два образца Shamoon, да и те от специалистов по безопасности, и ни одного факта реальных заражений. С другой стороны, Websense сообщает, что пострадала как минимум одна компания из энергетического сектора, а проактивное детектирование Shamoon/DistTrack началось с 13 декабря 2010 года.
