Shamoon: Möglicher "Flame"-Nachfolger aufgetaucht
17. August 2012, 13:03·
·
Malware könnte Firmen im Energiesektor im Visier haben
Sicherheitsforscher haben einen neuen Schädling entdeckt, die
Festplattenbereiche auf den befallenen Windows-Computern permanent
löscht. Die Malware, genannt "Shamoon", könnte es gezielt auf den
Energiesektor abgesehen haben.
Sicherheitsforscher uneins
Die Experten der Antivirenhersteller sind sich aktuell noch uneins
darüber, wie problematisch die Bedrohungslage tatsächlich ist. Bei
Kaspersky sieht man keinen potenziellen Flame-Nachfolger, sondern hält
"W32.Disttrack" bzw, "W32.EraseMBR" eher "für das Werk von
Script-Kiddies, die sich von der Geschichte beeindrucken haben lassen."
Anders Symantec: Dort stellt man in einem Blogpost fest, dass es
"gezielte Angriffe gegen zumindest eine Organisation im Energiebereich"
gegeben hat und zeigt sich verwundert ob des unüblich brachialen
Vorgehens des Schadprogramms. Ob es einen Zusammenhang mit dem
Virusbefall bei der nationalen, saudischen Ölfirma Saudi Aramco gibt,
ist nicht bekannt. Bei Seculert hält man es für möglich, dass der
Schädling zu einem zweiteiligen Angriff gehört und dazu dient, Beweise
früherer Aktivitäten zu vernichten.
"Shamoon" legt Rechner komplett lahm
Laut McAfee nutzt "Shamoon" ein öffentlich zugängliches JPEG-Bild, um am
Zielrechner verschiedene Systemdateien zu überschreiben und das
Betriebssystem damit unbenutzbar zu machen. Danach wird der Master Boot
Record überschrieben, was das Hochfahren unmöglich macht.
Mögliche Hinweise geben die Bestandteile des Virus. Die ausführbare
Datei beinhaltet die Begriffe "wiper" und "ArabianGulf". (red,
derStandard.at, 17.08.2012)
Links:
Kaspersky
Symantec
McAfee (PDF)