На днях мы получили интересную коллекцию образцов от коллег из другой антивирусной компании.
Образцы представляют интерес прежде всего потому, что они содержат модуль со следующей строкой:
1 |
C:ShamoonArabianGulfwiperreleasewiper.pdb |
Конечно же, при упоминании ‘wiper’ нам в голову сразу же приходят инциденты с удалением данных с иранских компьютеров в апреле 2012 года, при расследовании которых был обнаружен Flame.
Вредоносная программа представляет собой исполняемый PE-файл размером 900 Кб, содержащий несколько зашифрованных ресурсов:
Ресурсы 112, 113 и 116 зашифрованы путем выполнения операции XOR над фрагментами размером 4 байта. Для расшифровки этих ресурсов, а также еще одного ресурса, содержащегося в одном из исполняемых файлов, используются следующие ключи:
1 2 3 4 |
{0x25, 0x7f, 0x5d, 0xfb} {0x17, 0xd4, 0xba, 0x00} {0x5c, 0xc2, 0x1a, 0xbb} {0x15, 0xaf, 0x52, 0xf0} |
По-видимому, вредоносная программа собирает информацию об ‘интересных’ файлах в зараженной системе:
1 2 3 4 5 6 7 8 9 10 11 12 13 |
dir "C:Documents and Settings" /s /b /a:-D 2>nul | findstr -i download 2>nul >f1.inf dir "C:Documents and Settings" /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf dir C:Users /s /b /a:-D 2>nul | findstr -i download 2>nul >>f1.inf dir C:Users /s /b /a:-D 2>nul | findstr -i document 2>nul >>f1.inf dir C:Users /s /b /a:-D 2>nul | findstr -i picture 2>nul >>f1.inf dir C:Users /s /b /a:-D 2>nul | findstr -i video 2>nul >>f1.inf dir C:Users /s /b /a:-D 2>nul | findstr -i music 2>nul >>f1.inf dir "C:Documents and Settings" /s /b /a:-D 2>nul | findstr -i desktop 2>nul >f2.inf dir C:Users /s /b /a:-D 2>nul | findstr -i desktop 2>nul >>f2.inf dir C:WindowsSystem32Drivers /s /b /a:-D 2>nul >>f2.inf dir C:WindowsSystem32Config /s /b /a:-D 2>nul | findstr -v -i systemprofile 2>nul >>f2.inf dir f1.inf /s /b 2>nul >>f1.inf dir f2.inf /s /b 2>nul >>f1.inf |
В составе ресурса 112 имеется еще один ресурс (101), содержащий подписанный драйвер диска:
Сам драйвер диска, судя по всему, не является вредоносным. Однако он используется компонентами вредоносной программы для raw-доступа к диску, чтобы затереть содержимое MBR (главной загрузочной записи) на зараженных компьютерах.
Интересно, что драйвер подписан EldoS Corporation — компанией, которая видит свою миссию в том, чтобы ‘Помочь людям почувствовать уверенность в целостности и безопасности ценной информации’, как написано на сайте компании.
Кроме того:
EldoS Corporation — международная компания, специализирующаяся на разработке программных компонентов, связанных с обеспечением безопасности, для корпоративного рынка и отдельных разработчиков ПО.
Конечно, возникает один важный вопрос: ‘Можно ли утверждать, что это и есть вредоносная программа Wiper, примененная для атаки на Иран в апреле 2012 года?’
По нашему мнению, сформированному на основе изучения нескольких систем, атакованных программой Wiper, это не так. Настоящий Wiper использовал определенные имена служб (RAHD…) и имена файлов для обозначения своих драйверов (%temp%~dxxx.tmp), которые данная вредоносная программа, очевидно, не использует. Кроме того, настоящий Wiper использовал при затирании дисков определенный шаблон, который также не применяется данной вредоносной программой.
Вероятнее всего, в данном случае мы столкнулись с подражанием, работой script kiddies, на которых произвела впечатление история с иранской программой. В наши дни вредоносное ПО, предназначенное для уничтожения данных, встречается редко: киберпреступников интересует прежде всего нажива. Случаи, подобные обсуждаемому, здесь, возникают нечасто.
Мы детектируем 32-битные компоненты вредоносной программы как Trojan.Win32.EraseMBR.a, а 64-битные компоненты — как Trojan.Win64.EraseMBR.a. Мы проактивно детектировали основной дроппер с помощью эвристических методов как HEUR:Trojan.Win32.Generic.
P.S.: На сегодняшний день мы не знаем точно, что означает ‘Shamoon’. Возможно, это ссылка на Shamoon College of Engineering (http://www.sce.ac.il/eng/). Не исключено также, что это просто имя одного из авторов вредоносной программы. В арабском языке Shamoon — эквивалент имени Симон.
17 авг. 2012 г. Наши коллеги из Seculert опубликовали собственный анализ атаки Shamoon: http://blog.seculert.com/2012/08/shamoon-two-stage-targeted-attack.html. По их мнению, это двухэтапная атака с перемещением вредоносной программы по локальной сети.
Уточнение (17 авг. 2012 г.): За последние 24 часа мы собрали телеметрические данные с компьютеров наших пользователей по детектированию Trojan.Win32.EraseMBR.a. На данный момент зарегистрировано только два случая обнаружения этой программы, оба в Китае, в обоих случаях компьютеры, по-видимому, принадлежат специалистам по антивирусным исследованиям. Таким образом, можно заключить, что вредоносная программа не является распространенной и используется только в очень узконаправленных целевых атаках.
Shamoon: дело рук подражателей Wiper