Wirus Wiper naprawdę szkodliwy?

Przeczytaj także: Nowy szkodliwy program Gauss

Z kilku zniszczonych systemów udało nam się odzyskać kopię gałęzi rejestru. Nie zawierała ona wprawdzie żadnych szkodliwych sterowników ani elementów autostartu, jednak po przeanalizowaniu obszaru, w którym znajdowały się usunięte wpisy znaleźliśmy coś ciekawego. Oto, co udało nam się zidentyfikować:

22 kwietnia – tuż przed zamknięciem badanego systemu – pewien bardzo specyficzny klucz rejestru został utworzony, a następnie usunięty. Klucz ten dotyczył usługi o nazwie “RAHDAUD64” i wskazywał na plik o nazwie “~DF78.tmp” znajdujący się w folderze “C:\WINDOWS\TEMP”.

Od razu zauważyliśmy, że dokładnie taki format nazw plików został wykorzystany przez autorów Duqu. Co więcej, nazwę Duqu nadał węgierski badacz Boldizsár Bencsáth z CrySyS Lab po natrafieniu na pliki z nazwami “~dqXX.tmp”.

Próbowaliśmy odzyskać plik “~DF78.tmp” z dysku, jednak okazało się, że fizyczny obszar, na którym się on znajdował, został wypełniony „śmieciami”.

W kilku analizowanych przez nas systemach zauważyliśmy taki sam schemat „czyszczenia”: tworzona jest usługa o nazwie “RAHDAUD64”, która jest usuwana natychmiast przed przeprowadzeniem czyszczenia, a następnie zajmowane przez nią miejsce jest nadpisywane losowymi danymi. Usługa wskazywała na różne nazwy plików, takie jak “~DF11.tmp” oraz “~DF3C.tmp”. Możliwe jest zatem, że nazwy plików były losowe.

Kolejną cechą szczególną procesu czyszczenia był charakterystyczny wzór wykorzystywany do usuwania plików z dysku:

Większość plików, które zostały usunięte, zawierała określony wzór, który ciągle się powtarzał. Co ciekawe, procedura nie nadpisywała całego pliku. W pewnych przypadkach niektóre fragmenty pliku pozostały nietknięte, jednak na samym początku zawsze niszczone były nagłówki. Zależało to najprawdopodobniej od rozmiarów plików. Algorytm czyszczenia został zaprojektowany z myślą o jak najszybszym niszczeniu tak wielu plików, jak to możliwe.

W oparciu o wzór, który był wykorzystywany do czyszczenia, a także dzięki Kaspersky Security Network (KSN) udało nam się zgromadzić statystyki dotyczące zniszczonych plików.

Podczas próby zrekonstruowania algorytmu Wipera odkryto następującą sekwencję:

Wyszukiwanie plików do wyczyszczenia w oparciu o ich rozszerzenia. Lista rozszerzeń:

Wyszukiwanie i czyszczenie wszystkich plików w określonych folderach (na przykład: Documents and Settings, Windows, Program Files) oraz na wszystkich dostępnych pamięciach USB podłączonych do komputera.

Czyszczenie sektorów dysku (być może z użyciem bootkita).