Kaspersky Lab

Kaspersky Lab släpper forskningsresultat kring Wiper

Pressmeddelande   •   Aug 29, 2012 15:00 CEST

I april i år inträffade en rad incidenter när ett skadligt program, med kodnamnet Wiper, attackerade datorsystem med anknytning till oljeanläggningar i västra Asien. I maj inledde Kaspersky Labs forskningsteam, på uppdrag av FN-organet ITU (International Telecommunication Union), en analys av Wiper för att försöka skapa sig en bild av programmets potentiella hot.

Idag släpper Kaspersky Lab undersökningsresultaten från det digitala forensiska analysarbetet av hårddiskbilder från de maskiner som attackerades av Wiper.

Undersökningsresultaten ger insikt i Wipers mycket effektiva angreppsmetod, bland annat dess unika raderingsmönster och destruktiva beteende. Även om jakten på Wiper resulterade i den oavsiktliga upptäckten av det skadliga programmet Flame, har man inte lyckats identifiera Wiper. Wipers effektiva sätt att förstöra maskiner kan ha uppmuntrat andra att utveckla destruktiva skadliga program som exempelvis Shamoon, som dök upp i augusti.

Forskningsresultat:

  • Kaspersky Lab bekräftar att Wiper användes för att      attackera datorsystem i västra Asien 21-30 april 2012.
  • Analys av hårddiskbilderna från de datorer som förstördes av Wiper avslöjade ett specifikt mönster för dataradering tillsammans med en särskild skadlig komponent vars namn börjar med ~D. Upptäckten påminner om de skadliga programmen Duqu och Stuxnet som också använde filnamn som började med ~D och som byggde på samma attackplattform: Tilded.
  • Kaspersky Lab började söka efter andra filer som började med ~D genom det globala molnnätverket Kaspersky Security Network (KSN) för att försöka hitta fler filer hos Wiper baserat på kopplingen till Tilded-plattformen.
  • Under arbetets gång identifierade Kaspersky Lab ett stort antal filer i västra Asien med namnet ~DEB93D.tmp. Ytterligare analys visade att denna fil faktiskt var en del av en annan sorts skadligt program: Flame. Det var så Kaspersky Lab upptäckte Flame.
  • Trots att Flame upptäcktes under sökarbetet efter Wiper tror Kaspersky Labs forskningsteam att Wiper och Flame är två separata och distinkta program.
  • Även om Kaspersky Lab har analyserat spår från Wiper-utbrottet är det skadliga programmet fortfarande okänt då inga fler incidenter har inträffat med dataradering som följer samma mönster. Programmet har inte heller påträffats av Kaspersky Labs proaktiva skydd.
  • Wiper var extremt effektivt och kan leda till att andra utvecklar nya, liknande sorters skadliga program, såsom Shamoon.

För mer information om undersökningsresultaten se här:
http://www.securelist.com/en/blog/208193808/What_was_that_Wiper_thing

Mediekontakt: Bite Communications, 08-402 01 00, kaspersky@bitepr.se

Om Kaspersky Lab
Kaspersky Lab är världens största privatägda leverantör av klientsäkerhetslösningar. Företaget rankas bland världens fyra främsta leverantörer av säkerhetslösningar för klientanvändare*. Kaspersky Lab har under 15 år varit en innovatör inom IT-säkerhet och förser konsumenter, samt små och stora företag, med effektiva digitala säkerhetslösningar. Företaget är för nuvarande verksamt i nästan 200 länder och ger skydd åt över 300 miljoner användare över hela världen. Läs mer på www.kaspersky.se.

* Företaget rankades på fjärde plats i IDC:s Worldwide Endpoint Security Revenue by Vendor, 2010. Rankingen publicerades i IDC:s rapport Worldwide IT Security Products 2011-2015 Forecast and 2010 Vendor Shares – December 2011. Rapporten rangordnar programleverantörer efter försäljningsintäkter från klientsäkerhetslösningar under 2010.