Иран атакует новый военный вирус

Posted: Декабрь 18, 2012 in Военные технологии, Интернет

StuxNetИранский центр реагирования на компьютерные инциденты Maher CERTCC сегодня сообщил об обнаружении нового образца вредоносного программного обеспечения, ориентированного на иранские промышленные и оборонные объекты и предназначенного для безвозвратного удаления файлов или даже целых разделов с жестких дисков компьютеров.

Центр описывает новую угрозу, как целенаправленную атаку, но замечает , что по своей организации она довольно простая и не похожа на предыдущие атаки, с которыми сталкивался Иран и ближневосточный регион в целом. «Несмотря на простоту дизайна, вредоносное программное обеспечение работает и может использоваться для удаления информации с жесткого диска без возможности дальнейшего восстановления. Код созданного вредоноса уникален, поэтому большая часть антивирусов не распознает угрозы», — отмечают в центре.

Иранский центр отмечает, что им были обнаружены признаки присутствия вредоноса на компьютерах нескольких местных промышленных предприятий, названия которых не разглашаются.

Вредонос создан таким образом, чтобы уничтожать все данные с дисков под операционной системой Windows, а также избранные файлы из профиля текущего пользователя операционной системы.

В антивирусной компании Symantec тоже подтвердили наличие подобного кода, ориентированного на Иран. Судя по информации, которую стирает код, а также по датам, вшитым в его структуру, код может быть активным уже около двух месяцев. Эксперты говорят, что код распространяется через дроппер GrooveMonitor.exe (по аналогии с легитимным файлом в Microsoft Office Groove 2007). При запуске дроппера на компьютере-жертве в реестре ОС появляется новая запись, позволяющая вредоносу работать даже после перезагрузки машины. После нее же в системе создается .bat-файл, который инициирует удаление данных. Так как сам процесс удаления инициируется через командную строку, вредонос получил название Batchwiper.

Пока специалисты не установили источник распространения вредоносного кода, но дроппер может появляться в системе из разных источников, в том числе и из интернета или USB-носителей.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s