Shamoon: дело рук подражателей Wiper

На днях мы получили интересную коллекцию образцов от коллег из другой антивирусной компании.

Образцы представляют интерес прежде всего потому, что они содержат модуль со следующей строкой:

Конечно же, при упоминании ‘wiper’ нам в голову сразу же приходят инциденты с удалением данных с иранских компьютеров в апреле 2012 года, при расследовании которых был обнаружен Flame.

Вредоносная программа представляет собой исполняемый PE-файл размером 900 Кб, содержащий несколько зашифрованных ресурсов:

Ресурсы 112, 113 и 116 зашифрованы путем выполнения операции XOR над фрагментами размером 4 байта. Для расшифровки этих ресурсов, а также еще одного ресурса, содержащегося в одном из исполняемых файлов, используются следующие ключи:

По-видимому, вредоносная программа собирает информацию об ‘интересных’ файлах в зараженной системе:

В составе ресурса 112 имеется еще один ресурс (101), содержащий подписанный драйвер диска:

Сам драйвер диска, судя по всему, не является вредоносным. Однако он используется компонентами вредоносной программы для raw-доступа к диску, чтобы затереть содержимое MBR (главной загрузочной записи) на зараженных компьютерах.

Интересно, что драйвер подписан EldoS Corporation — компанией, которая видит свою миссию в том, чтобы ‘Помочь людям почувствовать уверенность в целостности и безопасности ценной информации’, как написано на сайте компании.

Кроме того:

EldoS Corporation — международная компания, специализирующаяся на разработке программных компонентов, связанных с обеспечением безопасности, для корпоративного рынка и отдельных разработчиков ПО.

Конечно, возникает один важный вопрос: ‘Можно ли утверждать, что это и есть вредоносная программа Wiper, примененная для атаки на Иран в апреле 2012 года?’

По нашему мнению, сформированному на основе изучения нескольких систем, атакованных программой Wiper, это не так. Настоящий Wiper использовал определенные имена служб (RAHD…) и имена файлов для обозначения своих драйверов (%temp%~dxxx.tmp), которые данная вредоносная программа, очевидно, не использует. Кроме того, настоящий Wiper использовал при затирании дисков определенный шаблон, который также не применяется данной вредоносной программой.

Вероятнее всего, в данном случае мы столкнулись с подражанием, работой script kiddies, на которых произвела впечатление история с иранской программой. В наши дни вредоносное ПО, предназначенное для уничтожения данных, встречается редко: киберпреступников интересует прежде всего нажива. Случаи, подобные обсуждаемому, здесь, возникают нечасто.

Мы детектируем 32-битные компоненты вредоносной программы как Trojan.Win32.EraseMBR.a, а 64-битные компоненты — как Trojan.Win64.EraseMBR.a. Мы проактивно детектировали основной дроппер с помощью эвристических методов как HEUR:Trojan.Win32.Generic.

P.S.: На сегодняшний день мы не знаем точно, что означает ‘Shamoon’. Возможно, это ссылка на Shamoon College of Engineering (http://www.sce.ac.il/eng/). Не исключено также, что это просто имя одного из авторов вредоносной программы. В арабском языке Shamoon — эквивалент имени Симон.

17 авг. 2012 г. Наши коллеги из Seculert опубликовали собственный анализ атаки Shamoon: http://blog.seculert.com/2012/08/shamoon-two-stage-targeted-attack.html. По их мнению, это двухэтапная атака с перемещением вредоносной программы по локальной сети.

Уточнение (17 авг. 2012 г.): За последние 24 часа мы собрали телеметрические данные с компьютеров наших пользователей по детектированию Trojan.Win32.EraseMBR.a. На данный момент зарегистрировано только два случая обнаружения этой программы, оба в Китае, в обоих случаях компьютеры, по-видимому, принадлежат специалистам по антивирусным исследованиям. Таким образом, можно заключить, что вредоносная программа не является распространенной и используется только в очень узконаправленных целевых атаках.