Πρόσφατα, η ιρανική ομάδα CERT ανέφερε ότι ένα νέο malware στοχεύει ιρανικούς υπολογιστές, το οποίο μπορεί να διαγράφει αρχεία από τους υπολογιστές που έχουν προσβληθεί.Η SophosLabs έχει αναλύσει τον νέο ιό και επιβεβαίωσε ότι το κακόβουλο λογισμικό προσπαθεί να διαγράψει τα περιεχόμενα των αρχείων σε δίσκους D, E, F, G, H και I.Το κακόβουλο λογισμικό διανέμεται ως αρχείο WinRAR που ανοίγει αυτόματα και ονομάζεται GrooveMonitor.exe,
διανέμοντας τρία εκτελέσιμα αρχεία: ...
juboot.exe, jucheck.exe και Sleep.exe.
Το «justboot.exe» είναι ένα αρχείο DOS ΒAΤ που έχει μετατραπεί σε μορφή PE και χρησιμοποιεί το «Sleep.exe» για να περιμένει λίγα δευτερόλεπτα πριν προσθέσει μια καταχώρηση που να διασφαλίζει ότι το «jucheck.exe» θα εκτελείται κάθε φορά που ο υπολογιστής κάνει επανεκκίνηση.
Η πρωταρχική λειτουργία του κακόβουλου λογισμικού είναι η διαγραφή αρχείων από το σκληρό δίσκο, αλλά μόνο σε συγκεκριμένα χρονικά διαστήματα, κάθε περίπου δύο ημέρες. Μετά τη διαγραφή των δεδομένων, το κακόβουλο λογισμικό «τρέχει» το chkdsk για να ξεγελάσει το θύμα, έτσι ώστε να πιστέψει ότι τα αρχεία έχουν καταστραφεί λόγω αποτυχίας λογισμικού ή υλικού.
http://www.secnews.gr