Shamoon, também chamado W32.Disttrack, é um vírus de computador que tem sido usado para espionagem cibernética, particularmente no sector da energia. O malware foi descoberto pela primeira vez em agosto de 2012, quando comprometeu milhares de computadores na Arábia Saudita. O Shamoon ataca computadores com Windows NT, Windows 9x, e Windows Me.
Foram encontradas semelhanças entre o Shamoon e o vírus Flame, que foi descoberto no início de 2012 e visou organizações governamentais, instituições educacionais, e indivíduos privados, principalmente no Oriente Médio, e notadamente no Irã. O Shamoon opera em vários estágios:
- Um atacante lança o Shamoon em uma rede.
- O vírus se espalha para os discos rígidos de outros computadores na rede por meio de uma função chamada "dropper"
- O vírus compila listas de arquivos em cada computador infectado.
- Uma função chamada "reporter" envia informações sobre os arquivos e a atividade do malware de volta para o atacante.
- Uma função chamada "wiper" apaga alguns ou todos os arquivos comprometidos.
- O vírus sobrescreve o master boot record (MBR) do computador para que ele não possa reiniciar.
Um grupo de jovens ativistas chamando-se "Cutting Sword of Justice" reivindicou a responsabilidade por um ataque a estações de trabalho Saudi Aramco usando o vírus Shamoon em agosto de 2012. Este ataque comprometeu cerca de 30.000 computadores. A restauração levou cerca de duas semanas. Os sistemas informáticos da RasGas também foram afectados no mesmo mês por um vírus que alguns especialistas acreditam ser o Shamoon.