Shamoon-malware wist je pc
Beveiligingsbedrijven hebben malware ontdekt die eerst bestanden van je pc steelt om het toestel nadien stuk te maken door de master boot record te overschrijven.
De Shamoon-malware richt zich op enkele specifieke bedrijven. Het virus heeft als doel om data te stelen uit de Windows-mappen van gebruikersaccounts, zoals Mijn Documenten. Ook de mappen system32/drivers en system32/Config, twee mappen in de map waar de Windows-bestanden staan, worden geplunderd.
Datastelende malware is niet nieuw maar het is vrij ongewoon dat het virus de computer nadien onbruikbaar maakt. Dat doet het door de master boot record te overschrijven.
[related_article id=”161920″]
Shamoon, dat ook bekend staat als Disttrack, richt zich volgens Symantec teminste op één bedrijf uit de energiesector.
De malware zelf bestaat uit een map van 900 kilobyte zegt Kaspersky Labs. Een van de bestanden daarin is een stuurprogramma voor harde schrijven van EldoS, een maker van beveiliginsonderdelen voor bedrijven. Deze driver wordt gebruikt om toegang te krijgen tot de harde schijf.
Shamoon werkt op een heel gamma van Windows-pc’s: Windows 95, Windows 98, Windows XP, WIndows 2000, Windows Vista, Windows NT, Windows ME, Windows 7, Windows Server 2003 en Windows Server 2008.
Tweeledig
Beveiligingsbedrijf Seculert slete vast dat Shamoon in twee fases aanvalt. Eerst wordt een met het internet verbonden pc geïnfecteerd zodat deze kan functioneren als command-and-control server.
Nadien springt het virus naar andere toestellen in het netwerk waar het data steelt, die doorstuurt naar de command-and-control server en nadien het toestel wist. Wie er achter de aanval schuilt is ook voor Seculert voorlopig onbekend.
Ook Kaspersky tast voorlopig in het duister. Het Russische beveiligingsbedrijf denkt niet dat het is gelinkt aan de Flame malware die recent opdook. Wel gaat het bedrijf uit dat Shamoon het werk is van copycats.