23-08-2012, 12:03
Especialistas em segurança disseram que o misterioso malware que recentemente causou estragos em computadores de uma organização do sector energético contém um erro de programação amador que não é típico dos ataques patrocinados por um país.
O erro, que foi noticiado esta semana num post do blog da Kaspersky Lab, foi encontrado no “Shamoon”, um malware que apaga os dados dos computadores infectados e os impede também de fazerem o boot. Os computadores de uma organização ligada ao sector energético foram afectados por este malware.
Após a palavra “Wiper” ter sido encontrada embutida no binário de base, alguns especialistas chegaram a suspeitar que este malware poderia estar ligado a um anterior ataque que foi utilizado para destruir os dados pertencentes ao Ministério do Petróleo do Irão.
Esta suspeita foi mais tarde descartada, depois dos especialistas da Kaspersky terem encontrado diferenças significativas na forma como as duas peças de malware se comportavam.
No post desta semana a Kaspersky apresentou mais uma evidência de que o Shamoon não foi patrocinado por um país: uma rotina de programação que não consegue determinar com precisão se uma data especificada já chegou. A data codificada no malware é 15 de Agosto de 2012. Se o mês da data actual cair em 2013 ou mais tarde, mas o mês for anterior a Agosto, o malware trata da data como vinda antes do valor checkpoint de Agosto de 2012. A falha é o resultado de uma lógica corrompida.
“Este erro confirma indirectamente a nossa conclusão inicial de que o malware Shamoon não é o malware Wiper que atacou os sistemas iranianos”, disse Dmitry Tarakanov da Kaspersky. “O Wiper é considerado como uma cyberarma e, nesse caso, deve ter sido desenvolvido por uma equipa de profissionais. Mas programadores experientes dificilmente cometeriam um erro na rotina de comparação de datas.”
Fonte:http://pcguia.sapo.pt/2012/08/22/malware...r-um-pais/
O erro, que foi noticiado esta semana num post do blog da Kaspersky Lab, foi encontrado no “Shamoon”, um malware que apaga os dados dos computadores infectados e os impede também de fazerem o boot. Os computadores de uma organização ligada ao sector energético foram afectados por este malware.
Após a palavra “Wiper” ter sido encontrada embutida no binário de base, alguns especialistas chegaram a suspeitar que este malware poderia estar ligado a um anterior ataque que foi utilizado para destruir os dados pertencentes ao Ministério do Petróleo do Irão.
Esta suspeita foi mais tarde descartada, depois dos especialistas da Kaspersky terem encontrado diferenças significativas na forma como as duas peças de malware se comportavam.
No post desta semana a Kaspersky apresentou mais uma evidência de que o Shamoon não foi patrocinado por um país: uma rotina de programação que não consegue determinar com precisão se uma data especificada já chegou. A data codificada no malware é 15 de Agosto de 2012. Se o mês da data actual cair em 2013 ou mais tarde, mas o mês for anterior a Agosto, o malware trata da data como vinda antes do valor checkpoint de Agosto de 2012. A falha é o resultado de uma lógica corrompida.
“Este erro confirma indirectamente a nossa conclusão inicial de que o malware Shamoon não é o malware Wiper que atacou os sistemas iranianos”, disse Dmitry Tarakanov da Kaspersky. “O Wiper é considerado como uma cyberarma e, nesse caso, deve ter sido desenvolvido por uma equipa de profissionais. Mas programadores experientes dificilmente cometeriam um erro na rotina de comparação de datas.”
Fonte:http://pcguia.sapo.pt/2012/08/22/malware...r-um-pais/