Alfonso Maruccia

Iran, un malware cancella gli hard-disk

I sistemi informatici del paese mediorientale sotto attacco da parte di un nuovo software malevolo distruttivo: Batchwiper. Il vettore è banale, un semplice batch, ma molto efficace

Roma - Dal centro di coordinazione del Computer Emergency Response Team (CERT) iraniano arriva la notizia di un nuovo malware diffuso nel paese, un codice malevolo semplice nel design ma molto efficace nel radere al suolo intere partizioni e dischi fissi basati su OS Windows.

Batchwiper, questo il nome del malware, è progettato per cancellare tutti i dati presenti sulle partizioni non di sistema (da D: a I:) assieme ai file contenuti nel desktop dell'utente che ha fatto il login. Il payload distruttivo scatta solo in alcune date, è già entrato in funzione l'11, il 12 e il 13 dicembre e la prossima occasione in calendario è il 21 gennaio 2013.

Nonostante la sua alta capacità di far danni, Batchwiper non fa altro che affidarsi a un file batch per eliminare i file dalle partizioni: il malware si camuffa da servizio legittimo ("GrooveMonitor.exe") e si avvia a ogni reboot del sistema operativo grazie all'uso di un'apposita chiave di registro.
Il paese preso di mira dal nuovo "incidente" informatico lascerebbe supporre l'esistenza di un qualche attacco mirato contro l'Iran, ma almeno in questo caso l'apparenza potrebbe ingannare: Batchwiper ha una genesi molto diversa da quella dell'altro "wiper" che ha portato alla scoperta della "cyber-arma" nota come Flame, dicono i ricercatori, anche se la sua pericolosità per i dati di utenti e aziende non è da meno.

Alfonso Maruccia
Notizie collegate
  • AttualitàFlame, malware a stelle e strisceEnnesima rivelazione imbarazzante per Washington: la Casa Bianca sarebbe direttamente responsabile della creazione del super-malware venuto alla ribalta in queste ultime settimane, dicono fonti anonime
  • SicurezzaMalware dal sapor mediorientaleSi susseguono gli incidenti e i casi di presunti cyber-attacchi contro le organizzazioni e le aziende dei paesi mediorientali, mentre le società di sicurezza si arrovellano su parentele e provenienza del codice malevolo più pericoloso
116 Commenti alla Notizia Iran, un malware cancella gli hard-disk
Ordina
  • Tanto antiamericani in Iran e usano windows a tutto spiano ? Mah ...

    L'intramontabile file batchSorride...però oltre a cancellare altre partizioni se volevano veramente mettere in crisi dovevano agire pesantemente su quella di sistema ...

    Quale nazione si nasconde dietro questa ennesima creatura ?Sorride
    non+autenticato
  • Ma usano ancora Windows gli iraniani? anche negli uffici governativi e nelle centrali atomiche? Capisco ora perchè è meglio che rimangano denuclearizzati!
    Per loro sarebbe il momento di passare i desktop a linux e i server a BSD. Visto che sono tanto contro l'America poi perchè usano il loro sistema? Anche perchè Windows è uno dei pochi esempi di 100% made in USA e tra l'altro questo è sempre stato in tutto sinonimo di qualità scadente (a differenza del made in germany per l'alta qualità o il vecchio e ormai non più esistente made in italy per il design e lo stile).
    non+autenticato
  • > sempre stato in tutto sinonimo di qualità
    > scadente (a differenza del made in germany per
    > l'alta qualità o il vecchio e ormai non più

    Eh già Siemens insegna...
    non+autenticato
  • l'unico problema di Siemens è di usare windows sui suoi sistemi
    non+autenticato
  • - Scritto da: Nome e cognome
    > Ma usano ancora Windows gli iraniani? anche negli
    > uffici governativi e nelle centrali atomiche?
    > Capisco ora perchè è meglio che rimangano
    > denuclearizzati!
    > Per loro sarebbe il momento di passare i desktop
    > a linux e i server a BSD.
    E si, perchè la B di BSD sta per Bielorussia vero?A bocca aperta
    non+autenticato
  • > E si, perchè la B di BSD sta per Bielorussia
    > vero?
    >A bocca aperta

    Acc... era troppo allettante.
    non+autenticato
  • sbagli, il grosso degli sviluppatori dei sistemi open ( linux in testa ) sono europei
    non+autenticato
  • - Scritto da: collione
    > sbagli, il grosso degli sviluppatori dei sistemi
    > open ( linux in testa ) sono
    > europei
    quale parte di BSD non ti è chiara?
    non+autenticato
  • tu non sei "nome e cognome" vero?Sorride
  • - Scritto da: P.Inquino
    > tu non sei "nome e cognome" vero?Sorride

    Se non si e' rinsavito a causa dell'imminente BSOD Maya, sembrerebbe essere un altro.
  • infatti si tratta di "Nome e cognome" (N)
  • Tutti i miei sistemi operativi preferiti sono case-sensitive Occhiolino
    non+autenticato
  • io e' virus albanese.
    noi di albania no boni a fare virus.
    io allora prega te di di mandare questo messaggio a 50 amicci tuoi e poi cancelare tuto tuto tuo ard disck.
    grazie di aiuto.
    non+autenticato
  • - Scritto da: P.Inquino
    > Rotola dal ridere
    Hai poco da ridere, questo funziona anche con gli utonti del pinguinoA bocca aperta
    non+autenticato
  • dimostramelo
  • - Scritto da: P.Inquino
    > dimostramelo

    Facile, leggilo e segui le istruzioni, vedrai che funziona.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: P.Inquino
    > > dimostramelo
    >
    > Facile, leggilo e segui le istruzioni, vedrai che
    > funziona.

    Io l'ho gia' girato a 50 utonti.
    Questa prima parte si riesce a fare benissimo anche con linux.

    Trovo invece molta difficolta' con la seconda, che continua a chiedermi la password di sudo.

    Che cosa devo scrivere quando mi chiede la password?
    Ho provato invio a vuoto, ho provato "password", ho anche provato 12345...
  • - Scritto da: panda rossa
    > - Scritto da: krane
    > > - Scritto da: P.Inquino
    > > > dimostramelo
    > >
    > > Facile, leggilo e segui le istruzioni,
    > vedrai
    > che
    > > funziona.
    >
    > Io l'ho gia' girato a 50 utonti.
    > Questa prima parte si riesce a fare benissimo
    > anche con
    > linux.
    >
    > Trovo invece molta difficolta' con la seconda,
    > che continua a chiedermi la password di
    > sudo.
    >
    > Che cosa devo scrivere quando mi chiede la
    > password?
    > Ho provato invio a vuoto, ho provato "password",
    > ho anche provato
    > 12345...
    Non li hai configurati beneA bocca aperta
    non+autenticato
  • > Non li hai configurati beneA bocca aperta

    Non funziona: il linaro si blocca al "manda questa mail a 50 amici"... 1,2... fine degli utenti linux.
    non+autenticato
  • - Scritto da: nome e cognome
    > > Non li hai configurati beneA bocca aperta
    >
    > Non funziona: il linaro si blocca al "manda
    > questa mail a 50 amici"... 1,2... fine degli
    > utenti
    > linux.

    Ok, questa mi ha fatto ridereA bocca aperta
  • - Scritto da: P.Inquino
    > dimostramelo
    sai leggere vero?
    non+autenticato
  • - Scritto da: atem
    > - Scritto da: P.Inquino
    > > dimostramelo
    > sai leggere vero?

    sai leggere quello che ha postato panda rossa su?
  • rigorosamente (ovviamente) per winzoz colabrodo
  • - Scritto da: P.Inquino
    > rigorosamente (ovviamente) per winzoz colabrodo

    Sicuramente compatibile con tutte le versioni presenti, passate e future.
  • - Scritto da: panda rossa
    > - Scritto da: P.Inquino
    > > rigorosamente (ovviamente) per winzoz
    > colabrodo
    >
    > Sicuramente compatibile con tutte le versioni
    > presenti, passate e
    > future.

    è una feature intrinseca di tutti i s.o targati redmonnezz...nemmeno porsi la questioneSorride

    ps. piace il mio nuovo avatar? tributo ed omaggio personale all'ultimo rilascio di samba (4.0), finalmente uscito dalla prealpha
    -----------------------------------------------------------
    Modificato dall' autore il 18 dicembre 2012 19.50
    -----------------------------------------------------------
  • - Scritto da: P.Inquino
    > ps. piace il mio nuovo avatar? tributo ed omaggio
    > personale all'ultimo rilascio di samba (4.0),
    > finalmente uscito dalla
    > prealpha


    Il tuo avatar:

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: uncle bill
    > - Scritto da: P.Inquino
    > > ps. piace il mio nuovo avatar? tributo ed
    > omaggio
    > > personale all'ultimo rilascio di samba (4.0),
    > > finalmente uscito dalla
    > > prealpha
    >
    >
    > Il tuo avatar:
    >
    > [img]
    > http://www.francesconicodemo.it/wp-content/uploads

    la vera cagata è active directory, per il quale i signori del progetto samba hanno non poco tribolato per arrivare alla fine dove sono arrivati
  • si ma funziona? c'hanno messo più di dosemu per arrivare alla 1 che ormai non serviva più
  • - Scritto da: Sherpya
    > si ma funziona? c'hanno messo più di dosemu per
    > arrivare alla 1 che ormai non serviva
    > più

    si
  • - Scritto da: P.Inquino
    > - Scritto da: Sherpya
    > > si ma funziona? c'hanno messo più di dosemu
    > per
    > > arrivare alla 1 che ormai non serviva
    > > più
    >
    > si

    Para bailar la samba
    se nesecita una poca de gracia...
  • no hay mejor y sabroso baile en el mundo...
    tambien si queremos verlo en el mundo informatico, ldap baila como nunca bailò por la primeraA bocca aperta
  • - Scritto da: Sherpya
    > si ma funziona? c'hanno messo più di dosemu per
    > arrivare alla 1 che ormai non serviva
    > più

    Fa schifo come tutte le altre versioni, persino Apple ha deciso di spendere soldi e scriversi una roba in casa piuttosto che usare quel bidone.
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: Sherpya
    > > si ma funziona? c'hanno messo più di dosemu
    > per
    > > arrivare alla 1 che ormai non serviva
    > > più
    >
    > Fa schifo come tutte le altre versioni, persino
    > Apple ha deciso di spendere soldi e scriversi una
    > roba in casa piuttosto che usare quel
    > bidone.

    hai ragione: AD fa cagare