Kaspersky Lab veröffentlicht neue Erkenntnisse zu Wiper

Die Malware zerstörte im April 2012 die Daten mehrerer Computersysteme in Westasien

Moskau/Ingolstadt, (PresseBox) - Kaspersky Lab veröffentlicht neue Erkenntnisse zu Wiper. Erste Hinweise auf die zerstörerische Malware tauchten im April 2012 im Zusammenhang mit der Analyse angegriffener Computersysteme in der Ölindustrie Westasiens (Naher und Mittlerer Osten) auf. Ein Forscherteam von Kaspersky Lab wurde von der ITU (International Telecommunication Union) beauftragt, den Vorfällen nachzugehen.

Heute legten die Experten von Kaspersky Lab neue Ergebnisse vor, die sie durch forensische Analysen betroffener Systeme gewinnen konnten.

Offensichtlich nutzte Wiper eine hocheffiziente Methode zur Zerstörung von Daten betroffener Systeme. Obwohl die ursprünglichen Untersuchungen unerwartet zur Entdeckung des Schädlings Flame geführt hatten, konnte Wiper selbst nach wie vor nicht gefunden werden. Kaspersky Lab vermutet aber, dass Wiper in der Zwischenzeit andere Cyberkriminelle zur Nachahmung inspiriert haben könnte, was etwa das Auftreten von Shamoon im August erklären würde.

Alexander Gostev, Chief Security Expert von Kaspersky Lab erklärt dazu:

"Auf Basis der vorgefundenen Spuren auf den zur Analyse eingereichten Festplatten besteht kein Zweifel daran, dass Wiper existiert und für Angriffe auf Computer im Westasien im April 2012 verwendet wurde. Vermutlich aber begannen die Angriffe sogar schon im Dezember 2011. Zwar haben wir Flame über die Nachforschungen zu Wiper entdeckt. Wir nehmen jedoch an, dass Wiper sich von Flame unterscheidet und einen anderen Malwaretyp darstellt. Das destruktive Verhalten von Wiper und zurückgelassene Dateinamen erinnern an die Tilded-Plattform. Die modulare Architektur von Flame hingegen war komplett anders und auf eine nachhaltige Kampagne zur Cyberspionage ausgerichtet. Bei Flame fanden wir auch keine Hinweise auf ein solch destruktives Verhalten, wie es Wiper an den Tag legt."

Hier die wichtigsten Erkenntnisse über Wiper zusammengefasst:

- Wiper war für Angriffe auf Computersysteme innerhalb der Ölindustrie Westasiens vom 21. bis 30. April 2012 verantwortlich.

- Die Analyse der von Wiper zerstörten Festplatten brachte eine bestimmte Löschroutine und den Namen einer Komponente zutage, der mit "~D" beginnt. Das erinnert an Duqu und Stuxnet, die ebenfalls ihre Komponenten mit ~D kennzeichnen. Duqu und Stuxnet wurden auf einer gemeinsamen Plattform erstellt, die analog zur Bezeichnung der Dateien "Tilded" genannt wird.

- Über sein cloud-basiertes Kaspersky Security Network suchten die Experten nach weiteren Dateien, die mit ~D begannen und auf eine Verbindung zur Tilded-Plattform verwiesen. Dabei fand sich eine Reihe von Dateien mit dem Namen ~DEB93D.tmp. Es zeigte sich, dass diese Dateien Teile eines Schädlings waren: Flame, der somit entdeckt wurde.

- Trotz der Tatsache, dass Flame im Verlauf der Suche nach Wiper entdeckt wurde, nehmen die Kaspersky-Experten an, dass Flame und Wiper zwei verschiedene und voneinander getrennte Schädlinge sind.

- Die Löschroutine von Wiper ist sehr effektiv. Sie verstümmelt in Sekundenschnelle so viele Dateien wie möglich auf einer Festplatte. Bei drei von vier angegriffenen Computern wurden die Daten komplett gelöscht. Die Malware selbst wurde ebenfalls gründlich entfernt. Wiper könnte mit diesem Ansatz auch andere Cyberkriminelle zu ähnlichen Programmen (wie etwa Shamoon) inspirieren.

- Kaspersky Lab konnte Spuren der Wiper-Infektion analysieren - die Schadsoftware selbst ist jedoch nach wie vor unbekannt. Das liegt daran, dass bis jetzt weder zusätzliche "Wiping-Vorfälle" bekannt wurden, die nach den selben Mustern vorgehen, noch ist Wiper bis jetzt im proaktiven Schutz von Kaspersky Lab aufgetaucht.

Mehr zu Wiper und den Analyse-Ergebnissen finden Sie in Englisch im Blog der Kaspersky-Experten unter http://www.securelist.com/en/blog/208193808/What_was_that_Wiper_thing

Kaspersky Labs GmbH

Kaspersky Lab ist der weltweit größte, privat geführte Anbieter von Endpoint-Sicherheitslösungen. Laut IDC zählt das Unternehmen zu den vier erfolgreichsten Herstellern von Sicherheitslösungen für Endpoint-Nutzer.* In seiner 15-jährigen Unternehmensgeschichte hat Kaspersky Lab zahlreiche Innovationen im Bereich IT-Sicherheit auf den Weg gebracht und bietet effektive digitale Sicherheitslösungen für Heimanwender, KMU und Großunternehmen. Der IT-Sicherheitsexperte ist derzeit in rund 200 Ländern auf der ganzen Welt vertreten und schützt über 300 Millionen Nutzer weltweit.

Weitere Informationen zu Kaspersky Lab finden Sie unter www.kaspersky.de. Kurzinformationen erhalten Sie zudem über www.twitter.com/.... Aktuelles zu Viren, Spyware, Spam sowie Informationen zu weiteren IT-Sicherheitsproblemen und -Trends sind unter www.viruslist.de abrufbar.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.