Новая разработка Shamoon стирает MBR, чтобы замести следы

Антивирусные компании обнаружили очередную таргетированную атаку, на которую неизвестные хакеры потратили немало сил, времени и денег. Новому трояну дали название Shamoon, по названию папки, прописанной в исполняемом файле.

Троян скрывает свою работу от антивирусов и собирает информацию на заражённом компьютере, что выглядит весьма тривиально. Как обычно для таких таргетированных атак, малое количество заражённых машин гарантирует вирусу достаточно долгий срок работы, прежде чем сигнатура попадёт в антивирусные базы данных. В случае с Shamoon внимание исследователей привлёк факт, что софт имеет функциональность стирать файлы и перезаписывать загрузочную область диска (MBR). Это выглядит очень странно, но специалисты напомнили, что точно такие же странные инциденты со стиранием файлов были зарегистрированы в Иране. После расследования вредоносной программы Wiper обнаружился пресловутый Flame.

На этом аналогии не заканчиваются. Шпионская программа Shamoon тоже занимается сбором документов на заражённых компьютерах и отправляет их на внутренний IP-адрес внутри локальной сети, чтобы не привлекать внимание к своей подозрительной активности. Примерно так же работал и Flame. В общем, авторы такого рода программ заимствуют друг у друга продвинутые методы маскировки шпионского ПО.

Шпион отправляет пакеты на внутренний IP-адрес 10.1.252.19. Вероятно, там находится прокси-сервер, который уже связывается напрямую с C&C-сервером. Что же по поводу стирания файлов и перезаписи MBR, то это может быть просто операция по удалению следов своей активности, которую троян выполняет после сбора данных. Сертификат драйвера, который стирает MBR, подписан компанией EldoS Corporation.

В данный момент специалисты не могут сказать, против кого была нацелена атака. С другой стороны, Websense сообщает, что пострадала как минимум одна компания из энергетического сектора, а проактивное детектирование Shamoon/DistTrack началось с 13 декабря 2010 года.