Skadevare kommer i mange forskjellige varianter, og blant dem finne vi såkalt wiper-programmer – programmer som er designet primært for å forårsake skade ved å for eksempel slette data fra servere. Nå advares det mot en ny slik programvare.
Sikkerhetsselskapet Check Point rapporterer om en skadevare døpt Azov, som først ble oppdaget i oktober. Programvaren ble blant annet spredt via nettsteder som inneholder piratkopiert programvare.
Forkledd som utpressingsvirus
Azov utga seg først for å være utpressingsvare ved å «late» som om den krypterte filer på offerets maskin. Etter nærmere, tekniske analyser oppdaget sikkerhetsforskerne imidlertid at det faktisk dreide seg om en destruktiv wiper-programvare som kan gjøre PC-en ubrukelig.
Ifølge Check Point er den eneste løsningen ofte å reinstallere operativsystemet dersom man skulle være så uheldig å bli infisert av programvaren.
– Ofre som er blitt infisert vil ikke ha noen måte å gjenopprette filene sine på, og bør installere Windows på nytt for å være trygge. I tillegg kan det være lurt å tilbakestille passord til e-postkontoer, nettbank og andre steder med sensitiv informasjon – i tilfelle det også er installert annen skadelig programvare, noe som ofte er en konsekvens av å benytte piratkopiert programvare, sa sikkerhetsarkitekt i Check Point Norge, Pål Aaserudseter, i en pressemelding.
Azov-programvaren skiller seg ut fra lignende programmer ved at den kan endre kjørbare filer for å kjøre sin egen kode, påpeker sikkerhetsselskapet. Endringen gjøres ved hjelp av såkalt polymorfisk kode, altså kode som endrer seg selv hver gang den kjøres uten å endre funksjonen til koden. Dette tjener den hensikt å unngå blokkering eller oppdagelse.
Uklar motivasjon
Ifølge Check Point har Azov infisert mange offentlig tilgjengelige filer, og hver eneste dag sendes hundrevis av nye Azov–prøver til Virustotal – en tjeneste som samler mange antivirusverktøy på ett sted og som brukes til å analysere mistenkelige filer som brukerens antivirus-programmer ikke har plukket opp.
Over 17.000 Azov-prøver skal hittil være lastet opp på Virustotal, et ikke helt ubetydelig tall.
Wiper-programvare brukes ofte av statlige eller andre ressurssterke aktører til å utføre sabotasje av infrastruktur, men i dette tilfellet er det ikke klart hva som er motivasjonen til bakmennene.
Som Check Point peker på er det ikke umulig at aktørene bak programvaren hadde et opprinnelig mål, men at antallet skadevareprøver nå er så stort at dette målet for lengst har druknet i det høye antallet vilkårlige infeksjoner.
– Det eneste vi kan si med sikkerhet, og det som er bekreftet gjennom alle disse analysene, er at Azov er en avansert skadevare designet for å ødelegge det kompromitterte systemet, heter det i Check Point Research sin rapport.
Flere tekniske detaljer finner du i selve rapporten.
Over 20 millioner nedlastninger: Disse Android-appene tømmer mobilbatteriet
