Dal centro di coordinazione del Computer Emergency Response Team (CERT) iraniano arriva la notizia di un nuovo malware diffuso nel paese, un codice malevolo semplice nel design ma molto efficace nel radere al suolo intere partizioni e dischi fissi basati su OS Windows.
Batchwiper , questo il nome del malware, è progettato per cancellare tutti i dati presenti sulle partizioni non di sistema (da D: a I:) assieme ai file contenuti nel desktop dell’utente che ha fatto il login. Il payload distruttivo scatta solo in alcune date, è già entrato in funzione l’11, il 12 e il 13 dicembre e la prossima occasione in calendario è il 21 gennaio 2013.
Nonostante la sua alta capacità di far danni, Batchwiper non fa altro che affidarsi a un file batch per eliminare i file dalle partizioni: il malware si camuffa da servizio legittimo (“GrooveMonitor.exe”) e si avvia a ogni reboot del sistema operativo grazie all’uso di un’apposita chiave di registro.
Il paese preso di mira dal nuovo “incidente” informatico lascerebbe supporre l’esistenza di un qualche attacco mirato contro l’Iran, ma almeno in questo caso l’apparenza potrebbe ingannare: Batchwiper ha una genesi molto diversa da quella dell’altro “wiper” che ha portato alla scoperta della “cyber-arma” nota come Flame , dicono i ricercatori, anche se la sua pericolosità per i dati di utenti e aziende non è da meno .
Alfonso Maruccia