21/08/2012 di Redazione

Shamoon è il nuovo malware che minaccia i Pc

Si sta diffondendo un nuovo malware probabilmente pensato per danneggiare le compagnie del settore energetico. Una volta contratto cancella documenti personali, immagini e video, quindi impedisce di riavviare il sistema. Lo hanno identificato gli esperti

immagine.jpg

I ricercatori di Symantec hanno scoperto Shamoon, un nuovo malware che una volta scaricato sul computer lo infetta provocando la perdita di documenti personali, immagini e video e impedendo il riavvio del sistema. Gli esperti di sicurezza hanno spiegato che da molto tempo ormai non si vedeva un malware così subdolo da cancellare i file personali degli utenti.

"Dieci anni fa eravamo abituati a scoprire minacce di questo tipo", ha spiegato Liam O Murchu di Symantec. Per ora non è ancora chiaro come si possa diffondere il malware, anche se è evidente che si tratta di un file eseguibile e che quindi potrebbe arrivare il disco fisso tramite un download o un allegato di posta elettronica.

Si chiama Shamoon la nuova minaccia per i Pc

I ricercatori hanno stimato che questa minaccia (Disttrack è il nome con cui l'ha battezzato McAfee, Shamoon quello di Symantec) potrebbe essere parte di un attacco indirizzato alle aziende attive nel settore energetico.

L'ipotesi scaturisce da alcune righe di codice trovate nelle cartelle dove si annida il malware, che contengono la parola Shamoon (da qui il nome del virus) e Arabian Gulf, o Golfo Arabico. Per questo motivo i ricercatori sospettano che il target siano proprio alcune aziende specifiche e ovviamente il primo pensiero va alle compagnie attive nel settore petrolifero ed energetico.

Liam O Murchu spiega che un computer infetto da questa minaccia è difficile da rimettere in sesto. Lo scenario tipico prevede infatti l'avvio del PC, la cancellazione della maggior parte dei file necessari per il funzionamento del computer e il "collasso" del sistema, rendendo impossibile perfino il corretto avvio.

A questo punto l'unico rimedio sembra essere affidarsi a un esperto di PC in grado di rimpiazzare il master boot record (l'area dell'hard disk dove sono archiviati i file necessari per avviare il sistema) o di collegare il disco rigido del computer a un PC non infetto per cercare di risolvere la situazione manualmente.

In ogni caso sui computer infettati non sarà più possibile ripristinare tutti i dati: Shamoon infatti è programmato per garantire che i dati distrutti non vengano recuperati. Il malware infatti sovrascrive i dati con una piccola porzione di un'immagine JPEG prelevata da Internet e usa anche un driver di sistema legittimo per ottenere accesso di basso livello al disco rigido in modo da poter ripulire i record di avvio dei sistemi Windows. Secondo Kaspersky il driver sarebbe stato firmato digitalmente con una chiave di crittografia privata appartenente ad una società chiamata EldoS Corporation.

Infine non mancherebbe una funzione di auto-propagazione che gli permette di diffondersi da computer a computer utilizzando le condivisioni di rete. Il malware è anche capace di spedire agli attaccanti le informazioni sul numero di file che sono stati distrutti e l'indirizzo IP del computer infetto.

Shamoon sembrerebbe nato per danneggiare le compagnie del settore energetico

Le finalità di questo malware hanno riportato alla mente Wiper, la variante che sarebbe stata usata l'aprile scorso per l'attacco al ministero del petrolio iraniano e che ha portato alla scoperta di Flame. In un post sul blog di Karspersy però i ricercatori russi hanno rivelato che i nomi contenuti nel codice di Wiper non sono presenti in Shamoon, e il primo sfrutta una tecnica differente per la distruzione dei dati. Sembra quindi che i due malware non siano collegati.

I membri del Global Research Kaspersky & Team Analysis spiegano che la cosa più probabile è che "Shamoon sia un'emulazione fatta ispirandosi alle informazioni circolate su Flame", che lo conoscono bene peré hanno contribuito alla sua scoperta.

Nessuno dei ricercatori ha finora identificato una o più vittime certe di Shamoon, secondo quanto riportato ad ArsTechnica per ora si tratterebbe di una cinquantina di computer in tutto, fra cui "almeno un'organizzazione nel settore energetico".


ARTICOLI CORRELATI