Wirus Wiper naprawdę szkodliwy?

Przeczytaj także: Nowy szkodliwy program Gauss

Czyszczenie dysku o pojemności setek gigabajtów może trwać kilka godzin. Zatem, twórcy szkodliwego programu przygotowali swój algorytm bardzo precyzyjnie, aby osiągnąć maksymalną wydajność. Spójrzmy na przykład na poniższy dysk wyczyszczony przez Wipera. Użyliśmy reprezentacji statystycznej (entropia Shannona w blokach po 256 KB) aby zwizualizować entropię na dysku. Jaśniejsze obszary oznaczają wyższą entropię, a ciemniejsze – niższą. Obszary wyświetlane na czerwono posiadają bardzo wysoką entropię i są to dane o dużym stopniu losowości.

Jak widać, Wiperowi udało się zniszczyć większość zawartości dysku. W górnej części obrazu można także zauważyć pasek wypełniony czerwonymi sektorami – to miejsce zostało wyczyszczone wyjątkowo starannie. Nie widać tutaj żadnego konkretnego wzorca – znaczna cześć dysku została wypełniona kompletnie bezużytecznymi danymi. Jasne jest, że za priorytet czyszczenia obrano początek dysku, następnie jego środkową część – chwilę po tym system był już całkowicie martwy.

Inny widok uzyskaliśmy przyglądając się sektorom, które zostały wypełnione znanymi już wzorami “%PNG / iHDR”. Czerwone pola oznaczają bloki sektorów, które zostały nadpisane tym wzorem:

Jak widać, Wiper wykonał swoje działanie na ponad 75% powierzchni dysku, w wyniku czego większość danych została bezpowrotnie zniszczona.

W pewnych przypadkach Wiper zawiódł – analizowaliśmy jeden 64-bitowy system, na którym szkodliwy program nie mógł się uruchomić. Wykryliśmy dwa pliki w folderze %TEMP%, które zostały nadpisane znanym wzorem PNG/iHDR, jednak reszta dysku pozostała nietknięta:

Zakładamy, że te dwa pliki – spośród tysięcy innych znajdujących się w folderze %TEMP% - musiały zostać zniszczone, ponieważ zawierały ważne dane związane z atakiem Wipera. W innym analizowanym przez nas systemie, poza plikami wymienionymi powyżej, całkowicie zniszczone zostały także pliki “~DF820A.tmp” oraz “~DF9FAF.tmp” (o rozmiarze około 512 bajtów).

Co ciekawe, w pewnych systemach zauważyliśmy, ze wszystkie pliki PNF w folderze INF systemu Windows były czyszczone z wyższym priorytetem niż inne obiekty. Po raz kolejny widzimy powiązanie z Duqu i Stuxnetem – szkodniki te trzymały swój główny kod w zaszyfrowanych plikach “.PNF”.

Jeżeli celem atakujących było upewnienie się, że Wiper nigdy nie zostanie wykryty, logicznym było czyszczenie w pierwszej kolejności składników szkodliwego programu, a dopiero później zajęcie się innymi danymi.

Powiązania z Flamem

Podczas szukania tego nieuchwytnego szkodliwego programu natrafiliśmy na coś zupełnie nowego. Podejrzewaliśmy, ze Wiper wykorzystywał nazwy plików takie jak “~DF*.tmp” lub “~DE*.tmp” w folderze TEMP, zatem zaczęliśmy się im przyglądać przy użyciu danych z KSN. Doprowadziło to do wykrycia przez nas nienaturalnie dużej liczby komputerów zawierających ten sam plik: ~DEB93D.tmp:

Format nazwy wskazywał, że plik może być częścią platformy Tilded i może być powiązany z Duqu i Stuxnetem. Plik wyglądał na zaszyfrowany, jednak szybko zwróciliśmy uwagę na pewną prawidłowość:

Duqu (3 listopada 2010):

00: ED 6F C8 DA 30 EE D5 01

~DEB93D:

00: 6F C8 FA AA 40 C5 03 B8