Що таке Wiper
Тієї самої, пошук якої ініціював Міжнародний союз електрозв'язку (МСЕ) у травні 2012 року після того, як місяцем раніше невідома шкідлива програма видалила всю інформацію з комп'ютерів низки промислових об'єктів нафтогазової галузі, розташованих у близькосхідному регіоні. Тоді аналітики "Лабораторії Касперського" виявили складну шкідливу програму Flame. Однак знайти Wiper так і не вдалося.
Результати поточного дослідження засновані на детальному аналізі образів жорстких дисків, що зазнали атаки Wiper. Вони свідчать про наявність унікального алгоритму дії шкідливої програми, який приводив до повного видалення всіх даних та подальшого виведення з ладу комп'ютерної системи.
Аналіз, проведений експертами «Лабораторії Касперського», показав, що шкідлива програма знищувала всі дані, які могли б бути використані для її виявлення. У ураженій Wiper комп'ютерній системі дані, що знаходяться на жорсткому диску, видалялися без можливості подальшого їх відновлення. Незважаючи на це, експертам «Лабораторії Касперського» вдалося отримати інформацію про специфічний метод видалення даних, використаний шкідливою програмою, а також імена деяких її компонентів, таких як, наприклад, записи системного реєстру, які дозволили визначити імена файлів, видалених з жорсткого диска. Так, імена ряду файлів починалися з
D, що іменами файлів, використаних у програмах Duqu і Stuxnet.
Аналіз алгоритму дії Wiper показав, що специфічний метод видалення даних був використаний кожному комп'ютері, у якому була активована шкідлива програма. Деструктивний алгоритм спрямовано ефективне видалення файлів без можливості подальшого відновлення, причомунастільки швидко, наскільки це можливо: одночасно могли видалятися гігабайти даних. На 75% досліджених дисків дані було повністю видалено. Основний акцент було зроблено на знищення першої половини дискового простору. Потім відбувалося систематичне стирання файлів, що відповідали за роботу системи, в результаті чого вона переставала функціонувати. Крім того, в ході дослідження з'ясувалося, що особливу увагу видаляли знищення файлів PNF. Варто відзначити, що саме цей тип файлів використовувався Duqu та Stuxnet для зберігання у зашифрованому вигляді свого основного коду.
Тимчасові файли з розширенням TMP (Temporary files), що починаються з
D також були використані в троянці Duqu, який був створений на тій же Tilded-платформі, що і Stuxnet. Грунтуючись на цих даних, дослідники почали шукати інші невідомі імена файлів, створених на Tilded-платформі і які стосуються Wiper. Для цього було використано хмарна система моніторингу Kaspersky Security Network (KSN), яка надає експертам «Лабораторії Касперського» телеметричні дані для аналізу виявлених на комп'ютері користувача шкідливих програм. У результаті дослідження з'ясувалося, що у кількох комп'ютерах, розташованих у близькосхідному регіоні, міститься файл “
DEB93D.tmp”. Його аналіз навів експертів "Лабораторії Касперського" до подальшого виявлення Flame. При цьому Wiper так і не знайшли.