In April of this year. appeared in a series of reports of malicious malware, codenamed Wiper, who attacked the computer systems associated with many oil installations in Western Asia.
In May 2012, a team of experts from Kaspersky Lab led the search initiated by the International Telecommunication Unit (ITU) to investigate the incident and determine the potential threat posed by this new pest, because it had an impact on global sustainable development and security. Kaspersky Lab has released a study analyzing the effect of constituting the hard drives obtained from the machines affected by the wiper. The analysis revealed information about an extremely effective method used by the wiper to the destruction of computer systems, including a unique pattern of data cleaning and destructive behavior. While searching for unintentionally resulted in the detection of wiper cyber espionage campaign, Flame, Wiper he was not found and remains unidentified. However, the wiper is used effectively destroying the machines can encourage followers to create a malicious malware such as Shamoon, which appeared in August 2012,
Summary results of the analysis
• Kaspersky Lab confirms that the wiper was responsible for the attacks carried out on computer systems in Western Asia held on 21 - 30 April 2012
• Analysis of the damaged hard drive wiper cleaning regimen revealed specific data together with the name of a specific component malware that begins with the characters "~ D". These findings are reminiscent of Duqu and Stuxnet pests that also apply file names beginning with "~ D" and have been developed on the same platform attacks, known as "Tilded".
• Experts from Kaspersky Lab began to look for other files with names beginning with "~ D" with the KSN (Kaspersky Security Network) and tried to find additional files from wiper connection Tilded platform.
• The search identified a large number of files in Western Asia, called "~ DEB93D.tmp". Further analysis showed that the file was in fact part of another type of malicious software: Flame. Thus, Kaspersky Lab has detected Flame'a.
• Although the flame is detected during the search for wiper, a team of experts from Kaspersky Lab believes that the Wiper and Flame are two separate and independent malware.
• Despite signs of infection Wiper analysis carried out by Kaspersky Lab malware is still unknown, as there were no further incidents of data cleaning on the same schedule, and proactive protection Kaspersky Lab does not detect this pest.
• Wiper was extremely effective and can inspire others to create new "imitative" copies of malicious malware such as Shamoon.
Analysis of the computers cleaned by the "wiper"
Carried out by Kaspersky Lab analysis of hard drives damaged by Wiper showed that this pest has cleared all the data that could be used to identify it. The file system modified by the wiper prevented successful execution of computers. Therefore, on any machine tested was not hardly anything on the wiper activation, it was also possible to restore or recover any data. owever survey conducted by Kaspersky Lab has revealed some valuable information, including the cleaning regimen used by the pest and the names of specific malware components and, in some cases, registry keys, indicating the name of the previous files that have been deleted from the hard drive. All these registry keys to point to the file names beginning with ~ D.
The unique pattern of data cleaning wiper
The analysis revealed a pattern consistent cleaning method to be used on any machine on which the wiper is activated. Wiper algorithm was designed to quickly and effectively destroy as many files - many gigabytes at a time. Completely erase the data took place at roughly three out of four attacked machine, the operation focused on the destruction of the first half of the disk, and then systematically clean the rest of the files, which allow the proper operation of the disk, ultimately leading to the collapse of the system. Furthermore, the identified attacks Wiper, whose aim was to NF files. These attacks would be useless, if not related to the removal of additional malware components. This was an interesting finding, since Duqu and Stuxnet stored their main code is in the files PNF.
How Wiper search led to the discovery Flame'a
Temporary files (TMP) with names starting with "~ D" were also used by Duqu, which has been developed on the same platform as the Stuxnet attacks: platform "Tilded". Following this path, the team of experts began to look for other potentially unknown file names associated with Wiper, based on the platform of "Tilded" using KSN - a cloud-based infrastructure used by Kaspersky Lab products to detect the latest threats. During this process, a team of experts found that the number of computers in Western Asia contains a file named "~ DEF983D.tmp". In this way, the Kaspersky Lab discovered Flame'a. Unfortunately, Wiper not found using this method and remains unidentified.
Alexander Gostev, chief security expert at Kaspersky Lab, said: "Analysis of the patterns left by the wiper on the hard-drive images examined, it is clear that this pest has existed and has been used to attack computer systems in West Asia in April 2012, and probably even earlier - in December 2011 While the search for Wiper Flame'a discovered, we believe that the wiper was not flame, but independent and other types of malware. destructive behavior Wiper, together with the names of the files that remain on the cleaned system , like a program that used the platform Tilded. Flame'a modular architecture was completely different and is designed to perform continuous and precise campaign of cyber espionage. Flame'a The analysis also have not identified any disruptive behavior that was characteristic of the wiper. "
今年の4月に。西アジアの多くの石油のインストールに関連するコンピュータシステムを攻撃した悪意のあるマルウェアのレポート、コードネームワイパーのシリーズで登場しました。
それは世界の持続可能な開発と安全保障への影響を持っていたので、2012年5月では、カスペルスキーの専門家のチームが、事件を調査し、この新たな害虫がもたらす潜在的な脅威を決定するために、国際電気通信ユニット(ITU)によって開始された検索を主導した。 Kaspersky Labは、ワイパーの影響を受けたマシンから取得したハードドライブを構成しているの効果を分析する研究結果を発表しました。分析では、データのクリーニングおよび破壊的行動のユニークなパターンを含むコンピュータシステムの破壊にワイパーが使用する非常に効果的な方法についての情報を明らかにした。無意識にワイパーサイバースパイキャンペーン、炎、ワイパーの検出の結果を探している間に彼が発見され、身元不明のままでいませんでした。しかし、ワイパーが機械を破壊する効果的に使用されるのは、信者がそのような2012年8月に登場しShamoon、などの悪質なマルウェアを作成することをお勧めすることができ
分析結果のサマリー
•Kaspersky Labは、ワイパーが西アジアでのコンピュータシステム上で行われた攻撃を担当したことが確認され21日に開催 - 2012年4月30
損傷したハード·ドライブのワイパー洗浄レジメンの•分析は文字 "A〜D"で始まる特定のコンポーネントのマルウェアの名前と一緒に特定のデータを明らかにした。これらの知見は、 "A〜D"で始まるファイル名を適用し、 "Tilded"として知られているのと同じプラットフォームの攻撃、上に開発されてきたDuquとStuxnetの害虫を連想させる。
カスペルスキーから•専門家は、KSN(カスペルスキーセキュリティネットワーク)と "A〜D"で始まる名前を持つ他のファイルを探し始めたとワイパー接続Tildedプラットフォームから追加のファイルを見つけることを試みた。
•検索は "〜DEB93D.tmp"と呼ばれる西アジアに多数のファイルを同定した。炎:さらなる分析は、ファイルが実際に悪意のあるソフトウェアの別の型の一部であることを示した。したがって、Kaspersky LabはFlame'aを検出しました。
炎がワイパーの検索時に検出された•が、カスペルスキーの専門家チームは、ワイパーと炎が2つ別々の独立したマルウェアであると信じている。
•カスペルスキーのマルウェアによって行わ感染ワイパー分析の兆しにもかかわらず、同じスケジュールでデータクリーニングのさらなる事件がなかったとして、まだ不明であり、積極的な保護Kaspersky Labは、この害虫を検出しません。
•ワイパーは非常に有効であり、そのようなShamoonなどの悪意のあるマルウェアの新しい "模倣"コピーを作成するために他人を刺激することができます。
"ワイパー"で駆除されたコンピューターの分析
ワイパーによって損傷ハードディスクドライブのカスペルスキー分析により行っこの害虫がそれを識別するために使用することができるすべてのデータをクリアしていることが明らかになった。ワイパーによって変更されたファイル·システムは、コンピュータの実行が成功したことを防いだ。したがって、試験したいずれのマシンではほとんどワイパーの活性化には何もしませんでした、それは、任意のデータを復元したり、回収することも可能であった。 owever Kaspersky Labが行った調査では、害虫やハードディスクドライブから削除されている以前のファイルの名前を示す特定のマルウェアのコンポーネントと、いくつかのケースでは、レジストリキーの名前で使用される洗浄レジメンを含むいくつかの貴重な情報を、明らかにした。すべてのこれらのレジストリキーは、〜Dで始まるファイル名を指すように
ワイパーを清掃するデータの一意のパターン
分析は、ワイパーが作動されているすべてのマシンで使用するパターンの一貫洗浄方法を明らかにした。一度に多くのギガバイト - ワイパーアルゴリズムは、迅速かつ効果的に多くのファイルを破壊するために設計されました。完全データは、大まかに3つのうち4つ襲わマシンの時にディスクの最初の半分の破壊に焦点を当てて操作を行われ、その後、最終的に体系的にシステムの崩壊につながる、ディスクの適切な操作を可能にするファイルの残りの部分をきれいに消去します。また、その目的は特定された攻撃のワイパーは、NFのファイルにあった。追加のマルウェア成分の除去に関連していない場合、これらの攻撃は、役に立たないでしょう。 DuquとStuxnetのが彼らのメインのコードはファイルのPNFにあるストアドので、これは面白い発見でした。
どのようにワイパー検索Flame'a発見につながった
で始まる名前の一時ファイル(TMP) "A〜D"もStuxnetの攻撃と同じプラットフォーム上で開発されたDuquによって使用された:このプラットフォームは "Tilded"。最新の脅威を検出するために、カスペルスキー製品で使用されるクラウドベースのインフラストラクチャ - このパスに続いて、専門家チームがKSNを使って "Tilded"のプラットフォームに基づいて、ワイパー、関連付けられている他の潜在的に未知のファイル名を探し始めた。この過程で、専門家のチームは、西アジアでのコンピュータの数が "〜DEF983D.tmp"という名前のファイルが含まれていることを発見した。この方法では、Kaspersky LabはFlame'aを発見しました。残念なことに、ワイパーは、このメソッドを使用していて、正体不明のまま見つかりません。
アレクサンダーゴステフ、カスペルスキーチーフセキュリティ専門家は、言った: "調べハードドライブイメージでワイパーが残したパターンの分析は、それはおそらく、この害虫が存在しており、2012年4月に西アジアでコンピュータシステムを攻撃するために使用されていることは明らかである、と以前にも - は、ワイパーFlame'aを検索し、検出されたものの、2011年12月にクリーンシステムに残っているファイルの名前と一緒に、私たちは、ワイパーが炎ではなかったと信じているが、マルウェアの独立した他の種類の破壊的な行動ワイパー。 、Tildedプラットフォームを使用するプログラムのような。Flame'aモジュラアーキテクチャは完全に異なっていたとサイバースパイ活動の継続的かつ正確なキャンペーンを実行するように設計されています。Flame'a分析もワイパーの特徴であったいかなる破壊的な行動を識別していません。 "
在今年4月。出现在一系列报告的恶意程序,代号为雨刮器,攻击计算机系统与西亚的石油设施。
2012年5月,一队来自卡巴斯基实验室的专家带领的搜索发起的国际电信组(ITU)对事件进行调查,并确定这个新的有害生物的潜在威胁,因为它有一个全球的可持续发展和安全的影响。卡巴斯基实验室公布的一项研究,分析构成的雨刮器受影响的机器的硬盘驱动器的效果。分析结果显示信息的一个非常有效的方法,使用雨刮器,以破坏计算机系统,包括数据清理和破坏性行为的独特模式。在寻找无意地导致雨刮器网络间谍活动,火焰,雨刮器的检测,他没有被发现,仍然身份不明。然而,雨刮器使用,有效地破坏了机器可以鼓励信徒创建一个恶意程序,如Shamoon,2012年8月,
分析结果摘要
•卡巴斯基实验室证实,雨刮器是负责对计算机系统进行攻击,在西亚,2012年4月21 - 30日举行
•损坏的硬盘驱动器清洁刷清洁方案的分析透露具体的数据,连同一个特定的组件的恶意软件开始字符“D”的名称。这些研究结果Duqu和Stuxnet的害虫,也适用于“D”开头的文件名,并已在同一平台上的攻击,已知为“Tilded”的影子。
•卡巴斯基实验室的专家们开始寻找其他文件KSN(卡巴斯基安全网络)与“D”开头的名字,并试图找到更多的文件从雨刮器连接Tilded平台。
•搜索发现了大量的文件在西亚,“DEB93D.tmp”。进一步的分析表明,该文件是在事实上恶意软件的一部分,另一种类型的:火焰。因此,卡巴斯基实验室已经检测到Flame'a。
虽然火焰检测雨刮在搜索过程中,一队来自卡巴斯基实验室的专家认为,雨刮器和火焰是两个独立的不同的恶意软件。
尽管有迹象显示进行了卡巴斯基实验室的恶意软件感染雨刮分析仍然是未知的,有没有再发生相同的时间表上的数据清洗,并积极主动的保护卡巴斯基实验室没有检测到这种害虫。
•雨刷是非常有效的,能够激励他人创造新的“模仿”副本的恶意程序,如Shamoon。
分析的电脑清洗“抽头”
开展由卡巴斯基实验室的硬盘驱动器损坏雨刮的分析表明,这种害虫已经清除了所有可以使用的数据,以确定它。刮水器改性阻止成功执行的计算机的文件系统。因此,在任何机器上测试,几乎没有什么是不上雨刷激活,它也可以还原或恢复任何数据。然而调查由卡巴斯基实验室已经发现了一些有价值的信息,包括的害虫所使用的清洗方案和具体的恶意软件组件的名称和,在某些情况下,注册表项,说明在以前的文件,已被删除从硬盘驱动器的名称。所有这些注册表项〜D.开头的文件名
独特的模式,数据清洗雨刮器
分析揭示的图案一致的清洗方法,该雨刮器被激活的任何机器上使用。雨刮器算法的目的是要迅速和有效地摧毁尽可能多的文件 - 许多GB的一次。完全擦除的数据了地方大致有三种出的4攻击机,集中销毁的磁盘上半年的操作,然后系统清理其余的文件,它允许在适当的操作的磁盘,最终导致系统崩溃。此外,识别的攻击雨刮器,其目的是NF文件。这些攻击是无用的,如果不涉及到去除额外的恶意软件组件。这是一个有趣的发现,因为Duqu和Stuxnet存储他们的主要代码文件中的PNF。
,雨刮搜索发现Flame'a
临时文件(TMP)的名字开始与“〜D”也使用Duqu,已在同一平台上开发的Stuxnet攻击平台“Tilded”。这条道路,专家团队开始寻找其他潜在的未知文件名与雨刮上的使用KSN“Tilded”的平台 - 一个基于云的基础设施所使用的卡巴斯基实验室产品检测最新的威胁。在这个过程中,一个专家小组发现,在西亚的计算机数量包含名为“〜DEF983D.tmp”的文件。在这种方式中,卡巴斯基实验室发现Flame'a,。不幸的是,雨刮器没有发现使用这种方法,仍然身份不明。
亚历山大·高斯特夫,首席安全专家卡巴斯基实验室,说:“留下的雨刮器上的硬盘驱动器影像检查的模式分析,它是明确的,此虫已存在的和已经被使用到攻击计算机系统中西亚在2012年4月,并可能甚至更早 - 2011年12月虽然发现雨刷Flame'a搜索,我们相信,雨刮器没有火焰,但独立和其他类型的恶意软件。破坏性的行为雨刷,一起保持在清洁系统的文件的名字,像一个程序使用的平台Tilded。Flame'a模块化的架构是完全不同的,是设计用来执行连续和精确的网络间谍活动。Flame'a的分析也没有发现任何破坏性行为为特征的雨刮器。“
