Иран сообщил об атаке нового вредоносного кода

18.12.2012 | 10:23
Иран сообщил об атаке нового вредоносного кода
Иранский центр реагирования на компьютерные инциденты Maher CERTCC сегодня сообщил об обнаружении нового образца вредоносного программного обеспечения, ориентированного на иранские промышленные объекты и предназначенного для безвозвратного удаления файлов или даже целых разделов с жестких дисков компьютеров.

Центр описывает новую угрозу, как целенаправленную атаку, но замечает , что по своей организации она довольно простая и не похожа на предыдущие атаки, с которыми сталкивался Иран и ближневосточный регион в целом. "Несмотря на простоту дизайна, вредоносное программное обеспечение работает и может использоваться для удаления информации с жесткого диска без возможности дальнейшего восстановления. Код созданного вредоноса уникален, поэтому большая часть антивирусов не распознает угрозы", - отмечают в центре.

Иранский центр отмечает, что им были обнаружены признаки присутствия вредоноса на компьютерах нескольких местных промышленных предприятий, названия которых не разглашаются.

Вредонос создан таким образом, чтобы уничтожать все данные с дисков под операционной системой Windows, а также избранные файлы из профиля текущего пользователя операционной системы.

В антивирусной компании Symantec тоже подтвердили наличие подобного кода, ориентированного на Иран. Судя по информации, которую стирает код, а также по датам, вшитым в его структуру, код может быть активным уже около двух месяцев. Эксперты говорят, что код распространяется через дроппер GrooveMonitor.exe (по аналогии с легитимным файлом в Microsoft Office Groove 2007). При запуске дроппера на компьютере-жертве в реестре ОС появляется новая запись, позволяющая вредоносу работать даже после перезагрузки машины. После нее же в системе создается .bat-файл, который инициирует удаление данных. Так как сам процесс удаления инициируется через командную строку, вредонос получил название Batchwiper.

Пока специалисты не установили источник распространения вредоносного кода, но дроппер может появляться в системе из разных источников, в том числе и из интернета или USB-носителей.
Иранский центр реагирования на компьютерные инциденты, Maher CERTCC, дроппер, вредоносный код
По материалам CyberSecurity.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код