Pátrání po něm vedlo k objevení Flamu. V květnu 2012 začal tým Kaspersky Lab na popud Mezinárodní telekomunikační unie (ITU) incidenty šetřit, aby určil potenciální hrozbu plynoucí z malwaru ohrožujícího systémy spojené s globální bezpečností a stabilitou.
Výzkum na základě forenzní analýzy obrazu harddisků z přístrojů napadených malwarem Wiper odhalil vysoce efektivní metodu ničení počítačových systémů, včetně unikátního vzorce mazání dat. I když pátrání po Wiperu vedlo neodvratně k objevení viru Flame, samotný Wiper se objevit nepodařilo a dodnes zůstává neidentifikován. Mezitím ale jeho účinný způsob ničení počítačů inspiroval vznik „napodobenin“. V srpnu se tak například objevil škodlivý kód Shamoon.
Malware Wiper vymazal harddisky napadených systémů a zničil všechna data, která by mohla vést k jeho identifikaci. Soubory malwaru pak poškozenému systému nedovolily restart a způsobily poruchy ve fungování. V napadených přístrojích nezůstalo po aktivaci Wiperu téměř nic a žádná data nebylo možné obnovit.
Algoritmus Wiperu byl navržen tak, aby co nejefektivněji zničil co nejvíce souborů, což mohly někdy být až gigabyty dat. Tři až čtyři napadené počítače měly data smazána kompletně. Nejdřív byla vymazána polovina disku a poté systematicky zbývající soubory, což nakonec vedlo ke zhroucení systému. Ví se také, že Wiper napadal soubory PNF, což by nemělo žádný smysl, pokud by to nesouviselo s mazáním dalších komponent malwaru. Je to zajímavé také proto, že Duqu a Stuxnet měly svou hlavní část zakódovanou právě v souborech PNF.
Shrnutí analýzy Wiperu:
- Společnost Kaspersky Lab potvrdila, že Wiper stojí za útoky na počítačové systémy na Blízkém východě.
- Analýza obrazu harddisků zničených Wiperem odhalila specifický vzorec mazání dat a také specifický název jeho komponent začínající na ~D. To připomíná viry Duqu a Stuxnet: jména jejich souborů také začínala na ~D a byly postaveny na shodné útočné platformě známé jako Tilded.
- Kaspersky Lab začala hledat další soubory začínající na ~D skrze Kaspersky Security Network (KSN) s cílem otestovat a najít přídavné soubory Wiperu spojené s platformou Tilded.
- Během tohoto procesu identifikovala Kaspersky Lab významné množství souborů pojmenovaných ~DEB93D.tmp. Hlubší analýza ukázala, že jsou součástí jiného malwaru: Flame. Tak Kaspersky Lab objevila Flame.
- Přestože byl Flame objeven během hledání Wiperu, analytici Kaspersky Lab věří, že Wiper i Flame jsou dva rozdílné a vzájemně vzdálené škodlivé programy.
- Ačkoliv Kaspersky Lab analyzovala stopy infekce Wiperu, malware samotný je stále neznámý, protože se neobjevily žádné další incidenty stejného mazání dat ani žádné další útoky.
Více informací naleznete ve zprávě na blogu Kaspersky Lab Securlist.