Shamoon Malware lähmt die Windows-PCs um Spuren zu verwischen

2013-12-28  |  Comebuy News

Ein neuer Trojaner versucht deckt seine Spuren durch lähmende Computer des Opfers nach Daten zu stehlen, sagte ein Sicherheitsexperte heute.

Comebuy Verwandte Artikel: Duqu Hacker schrubben Beweise von Befehl Servern, Spionage OpAttacks auf iranischen Ölindustrie führte zur Flamme Malware FindSecurity Herunterfahren Experten Push kostenlos Gauss Erkennung ToolsIran bestätigt, dass Cyberattacken gegen Öl FacilitiesGoogle Exec Zweifaktor-Authentifizierung im Gefolge von Tech Reporter Hack Job fordert

Nannte "Shamoon" von meisten Antiviren-Unternehmen, hat die Malware in gezielte Angriffe, die darauf abzielen, bestimmte Einzelpersonen oder Firmen, darunter mindestens einer im Energiebereich eingesetzt.

Laut israelischen Sicherheitsfirma Seculert hängt Shamoon eine ein bis zwei Stempel, erste Kontrolle über ein System, das vor der Verbreitung auf anderen PCs eines Unternehmens-Netzwerks mit dem Internet verbunden.

Die zweite Etappe--die startet, nachdem die Malware seine schmutzige Arbeit getan--überschreibt Dateien und den Master Boot Record (MBR) der Maschine. Letzteres macht den PC nicht mehr booten.

"sie suchen nach Möglichkeiten, um ihre Spuren zu verwischen" Aviv Raff, CTO und Mitbegründer von Seculert, sagte in einem Freitag interview.

Seculert und anderen Sicherheitsunternehmen, einschließlich Moskau ansässige Kaspersky Lab und US-Antivirensoftware Symantec, haben nicht noch Daten herausgefunden, die Shamoon suchst, die dann stehlen. Sie vermuten, dass da die Malware ein zweites infiziertes System verwendet, um die Kommunikation mit einem Server der Hacker-gesteuerte Command und Control (C & C), Shamoon Kopieren von Dateien von pillaged PCs und diese Informationen an seinen Meister senden.

Malware zerstört Dateien oder wischt den MBR nur selten. Die meisten Bedrohungen versuchen, ruhig zu arbeiten, um die Erkennung so lange wie möglich zu vermeiden. Lähmende einen Computer bringt nur unerwünschte Aufmerksamkeit.

"Drohungen mit solchen zerstörerischen Nutzlasten sind ungewöhnlich und sind nicht typisch für gezielte Angriffe", sagte Symantec auf einen Donnerstag Beitrag seiner Security Response-Team-Blog.

Da eine Liste von überschriebenen Dateien an das C & C übertragen wird Server, Raff spekuliert, dass Shamoons Entscheidungsträger wollte "wissen, was und wie viel abgewischt habe."

Die Destruktivität des Shamoon--seine unterscheidende Merkmal, wirklich-erzogen Erinnerungen eines Angriffs gegen iranische Computer in diesem Jahr die Festplatten auch praktisch ausgerottet.

Untersuchungen, dass Malware von Kaspersky hat die Flamme, das anspruchsvolle Cyber-Spionage-Tool aufzudecken, die meisten zu Stuxnet, der Wurm entdeckt im Jahr 2010, die iranische Atomprogramm sabotiert verknüpft haben.

Kaspersky war davon überzeugt, dass es keine Verbindung zwischen Shamoon und die Daten-abwischen-Malware, die Iran im vergangenen April, und zitierte einige Unterschiede zwischen den beiden gab.

"Es ist wahrscheinlicher, dass [Shamoon] ein Nachahmer, die Arbeit von einem Skript-Kiddies ist inspiriert durch die [früheren] Geschichte," sagte ein Kaspersky-Forscher gestern auf der Unternehmens-Blog.

Gregg Keizer umfasst Microsoft, Sicherheitsfragen, Apple, Web-Browser und allgemeine Technik Eilmeldung für Computerworld. Folgen Sie Gregg auf, am

Finden Sie mehr von Gregg Keizer Computerworld.

Lesen Sie mehr über Cyber-Kriminalität und hacken in Computerworlds Cyber-Kriminalität und Hacking Topic Center.

« Back