Реклама

Специалисты иранского координационного центра групп реагирования на компьютерные происшествия (CERTCC) сообщили об обнаружении нового вируса, уничтожающего данные на зараженных компьютерах. Хотя вирус, по всей видимости, предназначен для целевых атак, он обладает простой конструкцией, не похожей на конструкции обнаруженных ранее вирусов Stuxnet, Flamer и других. Открытие иранских специалистов подтверждается анализами, проведенными компаниями Symantec и AlienVault.

Вирус стирает все данные на разделах дисков, помеченных буквами от D до I, а также файлы на рабочем столе пользователя. При этом используются командные файлы оболочки системы Windows (batch-файлы), отчего вирус получил название Batchwiper. Файл установщика вируса носит имя GrooveMonitor.exe — вероятно, для маскировки под один из компонентов распространенного офисного пакета Microsoft Office 2007, который называется Microsoft Office Groove. При выполнении он создает в реестре запись, обеспечивающую автоматический запуск вируса, и файлы с командами для уничтожения данных. Вирус запускается только в определенные дни: в том числе по 12 числам октября, ноября и декабря. Ближайший день активации — 21 января 2013 года.