Новый вирус уничтожает главную загрузочную запись

«Лаборатория Касперского» предупреждает о появлении опасной вредоносной программы, уничтожающей данные на накопителе инфицированного компьютера.

Сертификат драйвера, использующегося вредоносной программой Shamoon (изображение «Лаборатории Касперского»).

Троян получил название Shamoon, или Trojan.Win32.EraseMBR.a. и Trojan.Win64.EraseMBR.a. Отмечается, что он используется для целевых атак на системы бизнес-сектора. Попав на компьютер, Shamoon пытается похитить важную информацию, после чего предпринимает попытку стирания главной загрузочной записи (MBR). При этом дальнейшее использование операционной системы становится невозможным.

Анализ показал, что при работе вредоносная программа использует драйвер, сертификат которого подписан компанией EldoS Corporation. Примечательно, что эта фирма занимается разработкой решений для обеспечения компьютерной безопасности, в том числе для корпоративного сектора.

Поведение Shamoon несколько напоминает работу вируса Wiper, обнаружение которого позволило идентифицировать сложнейшую шпионскую программу Flame. Она похищает важные данные, в том числе информацию, выводимую на монитор, сведения о системе, файлы, хранящиеся на компьютере, контакты пользователей и даже аудиозаписи разговоров. Flame активно использовалась в некоторых странах с марта 2010 года, однако из-за исключительной сложности и направленности на конкретные цели до начала 2012-го обнаружить её не мог ни один защитный продукт.

Несмотря на схожесть, Shamoon и Wiper — разные разработки, считают специалисты. Пока троян Shamoon широкого распространения не получил.

Подготовлено по материалам «Лаборатории Касперского».