Wirus Wiper naprawdę szkodliwy?

Przeczytaj także: Nowy szkodliwy program Gauss

Zupełnie przypadkowo zauważyliśmy, że plik rozpoczynał się od bajtów “6F C8”, które były także obecne w zaszyfrowanej postaci w początkowej części głównego kodu Duqu – ładowanego przez sterownik skompilowany 3 listopada 2010 r. Gdyby nie to spostrzeżenie, prawdopodobnie nigdy nie zwrócilibyśmy uwagi na plik ~DEB93D.tmp, ponieważ jego zawartość wygląda jak zwykłe śmieci.

Użyty algorytm był słaby i wyglądało na to, że wzór powtarza się co 4096 bajtów – dzięki temu udało nam się odszyfrować zawartość przy użyciu kryptoanalizy statystycznej - typowej metody wykorzystywanej podczas analizy szkodliwego oprogramowania. Po odszyfrowaniu pliku zauważyliśmy coś, co wyglądało jak logi procedury nasłuchującej. Idąc dalej tym tropem, wykryliśmy kolejne pliki zmodyfikowane tego samego dnia – takie jak “mssecmgr.ocx”, “EF_trace.log” lub “to961.tmp”. Reszta jest już historią – właśnie tak wykryliśmy Flame’a.

Czym zatem był Wiper?

Nie ma wątpliwości, że istniał szkodliwy program znany jako Wiper, który atakował komputery w Iranie (i być może w innych częściach świata) do końca kwietnia 2012 r.

Szkodnik ten był tak dobrze napisany, że gdy tylko został aktywowany, z danych nie pozostawało nic wartościowego. Zatem, mimo że dotarliśmy do śladów infekcji, szkodliwy program pozostaje nieznany. Nie zaobserwowaliśmy żadnych dodatkowych incydentów, które wykorzystywałyby schemat postępowania Wipera.

Wnioski

Możliwe, że nigdy nie dowiemy się, czym był Wiper, jednak bazując na naszym doświadczeniu możemy z dużym prawdopodobieństwem założyć, że taki szkodliwy program rzeczywiście istniał. Uważamy ponadto, że nie był on związany z Flamem.

Istnieje prawdopodobieństwo, że ciągle działają komputery, na których Wiper nie został usunięty. Jednak, nawet jeżeli tak jest, jeszcze nie wykryliśmy żadnej takiej maszyny.

Wiper może być powiązany z Duqu i Stuxnetem. Sugerują to takie same nazwy plików, jednak nie możemy potwierdzić tego powiązania ze stuprocentową pewnością.

Pewne jest, że Wiper był niezwykle efektywny. Ponadto, zmotywował do działania cyberprzestępców, którzy próbowali podrobić oryginał (mowa o szkodliwym programie Shamoon).

Fakt, że incydenty w Wiperem doprowadziły do wykrycia kampanii cyberszpiegowskiej Flame rodzi zasadnicze pytanie. Jeżeli za powstaniem Duqu/Stuxneta/Flame’a stoją ci sami ludzie, którzy stworzyli Wipera, to czy warto było ryzykować wpadkę całej operacji szpiegowskiej tylko po to, by zniszczyć kilka komputerów?