De malware die gisteren in het Midden-Oosten gegevens van computer wiste, blijkt eerst allemaal informatie te stelen. Het Noorse anti-virusbedrijf Norman kwam met de onthulling van de DistTrack-malware. Door andere anti-virusbedrijven wordt de malware echter Shamoon genoemd, naar aanleiding van de 'Shamoon' directory die in de code werd aangetroffen. Shamoon zou volgens Kaspersky Lab naar het Israëlische Shamoon College of Engineering kunnen wijzen, maar Shamoon is in het Arabisch het equivalent van Simon.

Copycat
In de directory staat ook het woord 'wiper', wat refereert naar het Wiper-virus wat weer tot de ontdekking van het zeer geavanceerde Flame-virus leidde. Volgens Kaspersky is er echter geen overeenkomst tussen de virussen. "Het is waarschijnlijker dat het hier om een copycat gaat, het werk van scriptkiddies die door het verhaal geïnspireerd raakten", aldus de virusbestrijder.

Dat maakt de malware niet minder destructief. Shamoon overschrijft na het stelen van gegevens alle bestanden en verwijdert daarna de Master Boot Record. "Iets wat zelden wordt gezien bij aanvallen. De meeste aanvallen zijn ontworpen om langere tijd op een systeem te blijven", zegt Patrik Runald van Websense.

Aanval
Volgens beveiligingsbedrijf Seculert bestaat de aanval uit twee fasen. Eerst neemt de aanvaller de controle van een interne machine over die verbinding met het internet heeft. Die machines wordt als proxy voor de externe Command & Control-server gebruikt. Via de proxy heeft de aanvaller toegang tot machines die niet direct internettoegang hebben. De exemplaren die Seculert analyseerde maakte verbinding met een lokaal IP-adres, 10.1.252.19.

De malware verzamelt vervolgens allerlei bestanden uit de Users, Windows en Documents and Settings map. Zodra de informatie is gestolen, wist de aanvaller al het bewijs van de kwaadaardige software door de bestanden en MBR te overschrijven, waardoor de computer niet meer start.