روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛در سال 2012، ما مطلبی را در مورد آنالیز بدافزار شامون منتشر کردیم ، در این حمله شرکت ملی نفت و گاز عربستان سعودی مورد هدف قرار گرفته بود و توانسته بود 30.000 ایستگاه های کاری و سیستم های IT را حدود یک هفته مختل کند. حالا به نظر می رسد که شامون دوباره بازگشته است و نسخه ی جدید خود را پس از 5 سال منتشر کرده است، این بار این بدافزار توسط تکه ی دیگری از بدافزارها با قابلیتی مشابه اما بسیار پیشرفته تر و با تکنولوژی بالاتری به میان آمده است. نزدیک به دو هفته پیش برخی کمپانی‌های امنیتی هشدار دادند که این بدافزار، بازگشتی نگران‌کننده به صحنه داشته و دوباره هزاران کامپیوتر سازمان هوانوردی عربستان سعودی و دیگر نهادهای دولتی در این کشور را هدف حملات سهمگین خود قرار داده است. در حال حاضر نسخه دوم بدافزار شامون ۲ باهدف قرار دادن زیرساخت‌های انرژی عربستان، این کشور را فلج کرده است.

شامون 2 شباهت بسیار زیادی با نسخه ی اسبق خود دارد. اینطور که به نظر می رسد مجرمان با دقت تمام این حمله را برای هدف خاصی در نظر گرفته اند. بدافزار "شامون"به عنوان ابزاری شناخته می‌شود که کامپیوترها را به سیستمی بی‌حافظه و بی‌استفاده تبدیل می‌کند. در این حمله اختیار کامل مدیر سیستم گرفته می شود و با باز تعریف مستربوت رکورد سیستم‌عامل ویندوز / MBR و پاک کردن فایل‌های کامپیوتر، کل سیستم را در معرض تخریب و نابودی قرار می‌دهد. این بدافزار از یک تاریخ از پیش تعیین شده فعالیت داشته و سیستم قربانیان را به طور کامل تسلیم خود کرده است. شامون (Shamoon)‌ پس از ورود به سیستم‌ها و شبکه‌های قربانی، اطلاعات حساس را در فرآیندی که هنوز ناشناخته مانده می‌رباید و سپس همه اطلاعات موجود را به‌گونه‌ای غیرقابل‌بازگشت پاک می‌کند، به همین دلیل است که لقب شامون (پاک کننده) را به این بدافزار نسبت داده اند. بخش های مختلف حیاتی و اقتصادی در عربستان اهداف اصلی شامون 2 بوده است.

با این حال، در این دوره از بررسی این بدافزار جدید، ما چیزهای بیشتری را یافتیم: ما یک نمونه ی ناشناخته با لقب StoneDrill را یافتیم. در برخی جنبه ها ما آن را شبیه شامون می بینیم و از طرفی دیگر این دو بدافزار را دو زوجی می بینیم که هیچ ربطی به یکدیگر ندارند. اول از همه، هدف این بدافزار تنها به شرکت های کشور عربستان محدود نمی شود و حداقل یک قربانی را در اروپا یافته ایم. ویژگی دیگر StoneDrill، کمک گرفتن از چندین تکنیک برای گریز از تشخیص بدافزار است. بسیاری از این تکنولوژی های جلوگیری شبیه سازی از دیگر متدها است. به عنوان مثال، آن WinAPI متعددی را با پارامترهای نامعتبر بوجود می آورد. در واقع این بدافزارها بعد از سرقت اطلاعات و پاک کردن آنها و سپس بازنویسی مستر بوت تلاش می‌کند که سیستم‌عامل رایانه را تخریب کند.

خطرناک ترین چیزی که در مورد StoneDrill وجود دارد این است که فقط شناسایی می شود، به همین خاطر ما تکه های دیگر بدافزار را شناسایی کردیم. او خود را نمایان می کند و برای حملات بعدی با تهدیداتی مدرن آماده می شود، از این رو کارشناسان امنیتی باید خود را برای هرگونه حمله ی پیشرفته از سوی این بدافزار آماده کنند.

منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.