Kaspersky Lab revela detalhes do vírus destrutivo Wiper

Malware apagou sistemas de refinarias asiáticas.

Em abril, uma série de incidentes de segurança revelou um novo malware chamado Wiper. Os alvos eram principalmente sistemas de refinarias de petróleo na parte ocidental da Ásia. A pedido da União Internacional de Telecomunicações (UIT), a equipe de pesquisa da Kaspersky Lab investigou o potencial do novo malware.

Após análise dos discos extraídos das máquinas infectadas pelo Wiper revelou que o programa foi desenhado para destruir arquivos de forma eficaz, podendo apagar vários gigabytes ao mesmo tempo, inclusive de dados que poderiam ser utilizados para identificar o malware. Cerca de três em cada quatro máquinas tinham os dados completamente apagados.

O sistema de arquivos corrompido impedia também o reinício dos equipamentos e levava a um mau funcionamento das máquinas. Portanto, quase todos os dados foram apagados após a ativação do Wiper, impossibilitando a recuperação ou restauração.

Alexander Gostev, investigador chefe de segurança da Kaspersky Lab, afirma que não há dúvidas de que o malware existiu e que foi utilizado para atacar os sistemas de refinarias no oeste da Ásia em abril de 2012, provavelmente até antes – em dezembro de 2011. “Apesar de termos descoberto o Flame durante a busca pelo Wiper, achamos que o Wiper é um ataque distinto e um tipo diferente de malware”, explica o pesquisador.

Segundo Gostev, o comportamento destrutivo do Wiper, combinado aos nomes de arquivos que foram apagados dos sistemas, assemelha-se muito aos programas que utilizam a plataforma Tilded. “A arquitetura modular do Flame era completamente diferente e foi desenhada para executar uma exaustiva campanha de ciberespionagem. Porém, não identificamos nenhum comportamento destrutivo que fosse utilizado pelo Wiper durante a nossa análise ao Flame”, disse.

História
O Wiper atacou sistemas da Ásia Ocidental entre 21 e 30 de abril de 2012. Pela análise das imagens de disco infectados, a Kaspersky identificou um padrão de dados de limpeza específico juntamente com um nome de determinado componente de malware, que começava com ~D. Esses códigos são uma reminiscência do Duqu e do Stuxnet, que também utilizam arquivos começando com ~D, e ambos foram construídos na plataforma Tilded. Outra conclusão dos analistas é que o Wiper é muito eficaz e pode conduzir à criação de novos malware destrutivos, como o Shamoon.

Depois da análise inicial, a Kaspersky Lab utilizou a rede de segurança em nuvem da empresa (KSN, de Kaspersky Security Network) para procurar arquivos que começassem com ~D e tentar encontrar dados complementares do Wiper ligados à plataforma Tilded. O processo resultou na identificação de um grande número de arquivos “Deb93d.tmp” provenientes da Ásia Ocidental e a análise detalhada deles mostrou que eram, na realidade, parte do Flame.

Mais informações sobre essas ameaças podem ser encontrados (em inglês) no endereço usa.kaspersky.com.

fonte:Kaspersky Lab revela detalhes do vírus destrutivo Wiper