Cyberwaffe

Malware "Wiper" verstümmelt alle Daten auf der Festplatte

Mittwoch, 29.08.2012 | 16:27 von Benjamin Schischka
Wiper löscht alles
Vergrößern Wiper löscht alles
© iStockphoto.com/ugurhan
Wiper versteckt sich so gut, dass bei der Suche nach dem Schädling zufällig die bislang komplexeste Malware der Welt gefunden wurde – Wiper selbst aber nicht.
Als im April 2012 die Dateien mehrerer Computersysteme der Ölindustrie in Westasien zerstört wurden, fand Kaspersky bei den Untersuchungen die Malware Flame. Flame ist eine komplexe Cyber-Waffe, die zum Spionage-Angriff auf Länder im Mittleren Osten verwendet wurde. Die Spionage-Malware soll sogar so komplex sein, dass der Schädling alle bisherigen Cyber-Bedrohungen in den Schatten stelle. Umso beunruhigender ist es also, wenn Kaspersky zugibt, dass man den eigentlichen Schuldigen damals nicht entdeckt hat. Auf Flame sind die Forscher also nur zufällig gestoßen. Der eigentliche Übeltäter – auf den Namen Wiper getauft – wende eine extrem effiziente Methode zur Zerstörung von Daten an. In Sekunden soll Wiper möglichst viele Daten auf der Festplatte so verstümmeln, dass sie nicht mehr ausgelesen werden können. Es seien auch schon ganze Festplatten gelöscht worden. Die Malware verwischt so auch ihre eigenen Spuren. Kaspersky Lab vermutet, dass Wiper in der Zwischenzeit andere Cyberkriminelle zur Nachahmung inspiriert haben könnte. Das würde beispielsweise das Auftreten von Shamoon im August erklären.
 
Alexander Gostev, Chief Security Expert von Kaspersky Lab erklärt dazu: „Auf Basis der vorgefundenen Spuren auf den zur Analyse eingereichten Festplatten besteht kein Zweifel daran, dass Wiper existiert und für Angriffe auf Computer im Westasien im April 2012 verwendet wurde. Vermutlich aber begannen die Angriffe sogar schon im Dezember 2011. Zwar haben wir Flame über die Nachforschungen zu Wiper entdeckt. Wir nehmen jedoch an, dass Wiper sich von Flame unterscheidet und einen anderen Malwaretyp darstellt. Das destruktive Verhalten von Wiper und zurückgelassene Dateinamen erinnern an die Tilded-Plattform. Die modulare Architektur von Flame hingegen war komplett anders und auf eine nachhaltige Kampagne zur Cyberspionage ausgerichtet. Bei Flame fanden wir auch keine Hinweise auf ein solch destruktives Verhalten, wie es Wiper an den Tag legt.”
 
Die Analyse der von Wiper zerstörten Festplatten soll eine Löschroutine aufgedeckt haben, die mit „~D“ beginnt. Genau wie bei Duqu und Stuxnet . Duqu und Stuxnet wurden auf einer gemeinsamen Plattform erstellt, „Tilded“ genannt. Bei der Suche nach weiteren Dateien, die mit „~D“ beginnen, sei man dann auf Dateien mit dem Namen „~DEB93D.tmp“ gestoßen – Teile von Flame.

Mittwoch, 29.08.2012 | 16:27 von Benjamin Schischka
Kommentieren Kommentare zu diesem Artikel (4)
  • kazhar 13:19 | 30.08.2012

    wer sich auf seinen virenscanner verlässt, der ist verlassen wenn man wie ich viel an eigenen tools herum bastelt merkt man wie einfach av software gestrickt ist. gerade der heuristik teil stößt sich an kleinigkeiten, lässt sich aber mindestens genauso einfach aus tricksen. als beispiel: avira stößt sich am allseits "beliebten" DownloadURLToFile, aber nur wenn es statisch gelinkt ist... avast findet in der cloud schlechte reputationen für files, die es genau 1x auf der welt gibt: auf meinem rechner...

    Antwort schreiben
  • kalweit 12:33 | 30.08.2012

    Ist doch mal wieder alles nur Verkaufsförderung. Die Betriebssysteme und Anwendungen werden immer sicherer, so dass die AV-Industrie zunehmend unter Druck gerät. In den letzten Jahren ist so gut wie nichts mehr in freier Wildbahn gesichtet worden, was auch nur ansatzweise eine signifikante Verbreitung gefunden hat. Von tatsächlichen Schäden auf Datenbestände ganz zu schweigen. Wenn man dann die großen "Horrormeldungen" weiter auseinander nimmt, sind die Infektionen gänzlich auf Sabotage direkt an den Rechnern zurück zu führen - also nichts, worüber sich ein normaler Anwender Gedanken machen muss.

    Antwort schreiben
  • deoroller 11:42 | 30.08.2012

    Wie soll ein AV-Programm schützen, das erst Signaturen zur Erkennung kriegt und angepasst werden kann, nachdem ein Virus in freier Wildbahn aufgetaucht ist. Da kann man eigentlich nur noch mit Checksummen arbeiten, so dass sofort Alarm geschlagen wird, wenn eine nicht mehr stimmt. Das kostet aber enorm Rechenzeit und ist unpraktisch, wenn die Arbeit der PC dann immer aufgehalten werden muss, bis geklärt ist, ob nicht doch ein Fehlalarm vorliegt, was bei den ständigen Fehlalarmen nicht durchgehalten werden kann. Ein AV-Programm, wird dann zur Produktivitätsbremse. :o

    Antwort schreiben
  • Till Wollheim 11:37 | 30.08.2012

    Über welchen Weg werden diese "Atombomben" verbreitet?

    Solche Viren sind ja wie Atombomben! Wie kann man sich davor schützen. Auf welchem Wege werden die verbreitet? Wahrscheinlich hilft ja eine normale Schutzsoftware dagegen nischt!? Till

    Antwort schreiben
1564222