Der iranische CERT hat Alarm geschlagen. Grund dafür ist eine neue Malware, die automatisch Daten beginnt zu löschen. Gefunden wurde die Malware auf zahlreichen PCs im Iran. Mit dem Namen „Batchwipper“ sorgt die Malware dafür, dass systematische jede Laufwerks-Patriotin überschrieben wird, beginnend mit dem Buchstaben „D“ durch „I Drive“. Mit inbegriffen bei der Überschreibung sind natürlich alle Daten, Medien und Informationen auf dem Windows Desktop des Users, der gerade in dem System angemeldet war, wenn die Malware ihr Unwesen treibt.
Warum wird die Maleware als „Batchwiper“ bezeichnet? Ganz einfach, der Name wurde ausgewählt, weil die Malware in einer "Batch-File" gepackt wurde.
Die Malware geht natürlich nicht ohne bestimmten Plan vor. So starten die jeweiligen Daten überschreibenden Aktionen an bestimmten Tagen. Der nächste Tag wäre zum Beispiel der 21. Januar 2013. Die Malware ist also darauf ausgelegt, ihre Aktionen nur an im Vorfeld bestimmten Tagen auszuführen. Wie auch immer, vergangen Daten wie der 12.Oktober, der 12. November und der 12. Dezember 2012, wurden ebenso gefunden in der Konfiguration der Malware. Das legt nahe, dass die Malware schon seit mindestens 2 Monaten ihr Unwesen treiben muss.
Die Datei „GrooveMonitor.exe“ ist die originale Datei und Quelle der Malware. Dabei handelt es sich um eine sich selbst extrahierende RAR-Datei. Einmal ausgeführt extrahiert sich die Malware in folgende Dateien:
—— WINDOWS->system32->SLEEP.EXE, md5: ea7ed6b50a9f7b31caeea372a327bd37
— WINDOWS->system32->jucheck.exe, md5: c4cd216112cbc5b8c046934843c579f6
— WINDOWS->system32->juboot.exe, md5: fa0b300e671f73b3b0f7f415ccbe9d41
Wenn dieser Schritt ausgeführt ist, so ist die Datei „juboot.exe“ vorhanden, die dann wiederum folgende Batch-Dateien erstellet:
Documents and Settings->%User%->Local SettingsTemp->1.tmp->juboot.bat
Laut Angaben des iranischen CERT, hieß es, „Wie auch immer es ist, dem Anschein nach ist die Malware nicht dazu bestimmt, sich sehr weit zu verbieten. Die gezielte Attacke ist nicht gleichzusetzen mit anderen Attacken, da es sich um eine sehr simple Malware handelt, ganz anders wie viele andere hoch entwickelte Malware-Attacken".
In der Vergangenheit ging der Iran noch davon aus, die USA oder Israel stünden hinter solchen Attacken. Bisher ist jedoch noch nicht klar, woher die Malware wirklich kommt.