Kaspersky: вредоносная программа Shamoon не более чем «быстрая и грязная»

Вредоносная программа атаковала жесткие диски 30 000 рабочих станций, принадлежащих саудовской нефтяной компании Saudi Aramco. После проактивного отключения сетевых каналов система была очищена до того, как был нанесен серьезный ущерб, и «Лаборатория Касперского» считает атаку не более чем «быстрой и грязной» работой. Вредоносная программа атаковала жесткие диски 30 000 рабочих станций, принадлежащих саудовской нефтяной компании Saudi Aramco

Научный сотрудник лаборатории Дмитрий Тараканов опубликовал анализ вредоносного ПО после разделения его кода, и анализ помещает сложное кодирование, включая Stuxnet и Flame, в совершенно другую лигу.

Был сделан ряд «глупых» ошибок, в том числе с использованием некорректного сравнения дат и замены строчных букв заглавными буквами - то, что исследователь считает признаком поспешности, влияющим на эффективность атаки:

«Но вместо строки правильного формата автор вредоносных программ использовал«% S% S% d.% S »с заглавной буквой« S ». Это приводит к сбою функции« sprintf », и строка полного пути не создается. Отсутствие полного путь означает, что ни один файл не будет удален. Нет файла, нет выполнения. Таким образом, вредоносная программа Shamoon не имеет функции для запуска других программ. "

Включение изображения горящего флага в Википедии под первоначальным названием US_flag_burning.jpg считалось «преднамеренным» ключом к поиску изображения.

Это образ, который используется для перезаписи основной загрузочной записи жестких дисков, хотя последний вариант также перезаписывает 192 КБ блоков данных случайно сгенерированной информацией.

Признанный W32.Disttrack, вредоносная программа также изменяет активные разделы зараженной машины и стирает «приоритетные» файлы, помеченные как «загрузка», «документ», «картинка», музыка, видео и рабочий стол. После считывания даты «смерти» из файла .pnf и проверки очистки стеклоочиститель активируется.

Тараканов также упоминает запутанный аспект Shamoon - тот факт, что он использует законные подписанные драйверы программного обеспечения Eldos RawDisk. Сначала они думали, что это было сделано для целей переписывания, но Windows 7 предоставляет стандартный доступ пользователя без необходимости подписанного стороннего драйвера. Тем не менее, Shamoon должен работать с правами администратора в любом случае, поэтому кодирование кажется бессмысленным.

Исследователь пришел к выводу:

«У нас есть и другие подсказки о том, что люди, создавшие вредоносное ПО Shamoon, не являются высокопрофессиональными программистами, и природа их ошибок говорит о том, что они являются любителями, хотя и умелыми любителями, поскольку они действительно создали практически самореплицирующуюся вредоносную вредоносную программу.

К сожалению, мы видим, что предупреждения о вредоносном программном обеспечении, использующем легальные приложения в режиме ядра, - это не паранойя, а реальность. Разработчики драйверов должны всегда помнить, что киберпреступники и другие люди, которые создают вредоносные программы, ищут скрытые способы доступа к системному Ring0 ».

Вредоносная программа впервые попала в Aramco 15 августа. В сообщениях высказывалось предположение, что подобное нападение на базирующуюся в Катаре компанию по производству природного газа RasGas может быть совершено в Шамуне, но это еще предстоит подтвердить.