На иранских предприятиях обнаружен еще один вирус-чистильщик

20/12/2012 00:17

Специалисты иранского координационного центра групп реагирования на компьютерные происшествия (Computer Emergency Response Team Coordination Center - CERT/CC) сообщили об обнаружении нового вируса, уничтожающего данные на зараженных компьютерах. Хотя вирус, по всей видимости, предназначен для целевых атак, он обладает простой конструкцией, не похожей на конструкции обнаруженных ранее вирусов Stuxnet, Flamer и других. Открытие иранских специалистов подтверждается анализами, проведенными компаниями Symantec и Лаборатории Касперского. Вирус стирает все данные на разделах дисков, помеченных буквами от D до I, а также файлы на Рабочем столе текущего пользователя. При этом используются командные файлы оболочки системы Windows (batch-файлы), отчего вирус получил рабочее название Batchwiper (Trojan.Win32.Maya.a). Файл установщика вируса носит имя "GrooveMonitor.exe" — вероятно, для маскировки под один из компонентов распространенного офисного пакета Microsoft Office 2007, который называется Microsoft Office Groove. После запуска в систему устанавливаются три файла с командами на уничтожение данных - "sleep.exe", "jucheck.exe" и "juboot.exe", а также в реестре создается запись, обеспечивающая автоматический запуск вируса. Вирус запускается только в определенные дни: в том числе по 12 числам октября, ноября и декабря. Ближайший день активации — 21 января 2013 года. После запуска, Batchwiper выдерживает 50-минутную паузу и пытается произвести уничтожение целевых данных. Несмотря на свою очевидную простоту, благодаря своей целенаправленности этому вирусу удалось избежать обнаружения антивирусами до момента своего первого срабатывания, 10 декабря 2012 года.
Источник