针对能源部门的神秘恶意软件-shamoon

赛迪网 2012-08-24 126471人围观 ,发现 2 个不明物体 资讯

安全专家最近确认了一种与Flame等APT类攻击病毒类似的新型病毒Shamoon,这种病毒的攻击目标是能源企业或能源部门,它能将受感染Windows机器中的数据永久删除
这种病毒被注名为“W32.Disttrack”以及“W32.EraseMBR”,别称Shamoon。执行文件里包含了“wiper”字段,以及“ArabianGulf”字段。这一字段也曾在Flame病毒中出现过,Flame曾被认为是由美国和以色列政府共同研发用以攻击伊朗核能源部门的恶意攻击软件。

Shamoon病毒与Flame病毒类似,能够直接将感染用户电脑内的数据发送到网络,而且在传完数据之后恶毒的将电脑上的数据永久删除,甚至包括主引导记录,直接就导致系统瘫痪,不能开机。Shamoon病毒本身的文件大小只有900k,但是内部的资源都是经过完整加密的。如下图:

目前Shamoon病毒还没有在全球范围内广泛传播,但是根据Seculert的报告目前已经有至少使用了两级攻击,而且攻击的主要目标都限定在一些大型公司的主要部门。有专家认为病毒Shamoon将会席卷Windows平台PC。
卡巴斯基工作室的研究人员谈论到这两种病毒的联系时,只是简单猜测说:“Shammoon应该只是一款简单的模仿作品,写此病毒的作者可能是受到了某些英雄故事的影响而已。”赛门铁克的一篇博文写道,“Shammon目前已经攻击了至少一家企业的能源部门”,不过没有再提及更多信息。Ars Technica指出,沙特阿拉伯的国际石油公司Saudi Aramco近期曾遭受该病毒的袭击,不过尚不清楚事件间是否存在什么联系。
McAfee公司的报告中指出,这种恶意软件会利用JPEG图片中的数据改写主机上的某些文件,导致这些文件失效。然后还会继续改写硬盘上的启动引导记录(MBR)以及分区表,致使电脑无法启动。Shamoon的这种做法令许多研究者觉得,这不过是小孩把戏而已,尽管网络安全公司Seculert在一篇博文中指出,Shammoon极有可能只是针对能源企业和部门攻击中的其中一部分而已,主要用来销毁过去的攻击记录。

发表评论

已有 2 条评论

取消
Loading...
css.php