Vírus Wiper pode ter relação com o Stuxnet

Malware sabotou indústrias de energia iranianas, mas não deixou rastros claros para serem analisados. Segundo analistas da Kaspersky Lab, seu ataque é eficaz e pode motivar à criação de novas ameaças

Pesquisadores de segurança da Kaspersky Lab descobriram indícios que sugerem uma possível ligação entre o misterioso malware que atacou computadores iranianos do Ministério de Petróleo em abril e os supervírus espiões Stuxnet e Duqu.

A pedido da International Telecommunication Union (ITU), a equipe de pesquisa da Kaspersky Lab investigou a potencial ameaça desse novo vírus. Após uma análise forense digital feita com base em imagens de disco extraídas das máquinas infectadas, a empresa de antivírus anunciou na quinta-feira (30/8) informações detalhadas sobre a eficácia do método utilizado pelo Wiper para sabotagem.

Vale ressaltar que, apesar da análise do Wiper ter levado à descoberta casual do Flame, o malware em si não foi descoberto. O estudo mostrou que o programa foi projetado para destruir rapidamente todos os arquivos de forma eficaz, podendo abranger vários gigabytes ao mesmo tempo,  apagando, inclusive, dados que poderiam ser utilizados para identificar o malware. Cerca de três em cada quatro máquinas tiveram seus arquivos excluídos completamente.

O sistema de arquivos corrompido impedia também o reinício dos equipamentos e levava a um mau funcionamento das máquinas, o que impossibilitou a recuperação ou restauração dos arquivos.

Alexander Gostev, investigador chefe de segurança da Kaspersky Lab, afirma que não há dúvidas de que o malware existiu e que foi utilizado para atacar os sistemas de refinarias no Oeste da Ásia em abril de 2012, e provavelmente até antes – em dezembro de 2011.

“Apesar de termos descoberto o Flame durante a busca pelo Wiper, achamos que o Wiper é um ataque distinto e um tipo diferente de malware. O comportamento destrutivo, combinado com os nomes de arquivos que foram apagados dos sistemas, assemelha-se muito aos programas que utilizam a plataforma Tilded. A arquitetura modular do Flame era completamente diferente e foi projetada para executar uma exaustiva campanha de ciberespionagem. Porém, não identificamos nenhum comportamento destrutivo usado pelo Wiper durante a nossa análise ao Flame”.

Entenda o Wiper e como ocorreu a descoberta do Flame
O Wiper atacou sistemas informáticos da Ásia Ocidental entre 21 e 30 de abril de 2012. Pela análise das imagens dos disco dos computadores infectados, a Kaspersky Lab identificou um padrão de dados de limpeza específico juntamente com um determinado componente do malware, que começava com ~D. Esses códigos são uma reminiscência do Duqu e do Stuxnet, que também utilizam arquivos começando com ~D, ambos foram construídos na plataforma Tilded.

Depois da análise inicial, a Kaspersky Lab utilizou a rede de segurança em nuvem da empresa (KSN – Kaspersky Security Network) para procurar arquivos que começassem com ~D e tentar encontrar dados complemetares do Wiper ligados à plataforma Tilded. Esse processo resultou na identificação de um grande número de arquivos “Deb93d.tmp” provenientes da Ásia Ocidental e a análise detalhada deles mostrou que eles eram, de fato, parte do Flame.

Embora a descoberta do Flame tenha ocorrido durante a pesquisa do Wiper, a Kaspersky Lab acredita que os malware sejam programas distintos. Apesar disso, analistas afirmam que há algumas evidências que podem ligar o malware com o Stuxnet ou com o Duqu.

Apesar de todos os esforços, o Wiper continua desconhecido. Ele só poderia ser idetificado, segundo a empresa, se, devido a uma falha, a rotina de limpeza de dados deixasse de ocorrer e deixasse os rastros necessários para a sua identificação.

Especialistas confirmam que o Wiper é muito eficaz e pode conduzir à criação de novos malware destrutivos, como o Shamoon. O que foi confirmado até o momento é que o Stuxnet, Flame, Duqu e Gauss estão relacionados.

Agradeço ao Davi, amigo e colaborador do Seu micro seguro, pela referência a esta notícia.

Fonte: IDG Now!

Os comentários estão desativados.

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 516 outros seguidores

%d blogueiros gostam disto: