Shamoon

Shamoon, também chamado W32.Disttrack, é um vírus de computador que tem sido usado para espionagem cibernética, particularmente no sector da energia. O malware foi descoberto pela primeira vez em agosto de 2012, quando comprometeu milhares de computadores na Arábia Saudita. O Shamoon ataca computadores com Windows NT, Windows 9x, e Windows Me.

Foram encontradas semelhanças entre o Shamoon e o vírus Flame, que foi descoberto no início de 2012 e visou organizações governamentais, instituições educacionais, e indivíduos privados, principalmente no Oriente Médio, e notadamente no Irã. O Shamoon opera em vários estágios:

  • Um atacante lança o Shamoon em uma rede.
  • O vírus se espalha para os discos rígidos de outros computadores na rede por meio de uma função chamada "dropper"
  • O vírus compila listas de arquivos em cada computador infectado.
  • Uma função chamada "reporter" envia informações sobre os arquivos e a atividade do malware de volta para o atacante.
  • Uma função chamada "wiper" apaga alguns ou todos os arquivos comprometidos.
  • O vírus sobrescreve o master boot record (MBR) do computador para que ele não possa reiniciar.

Um grupo de jovens ativistas chamando-se "Cutting Sword of Justice" reivindicou a responsabilidade por um ataque a estações de trabalho Saudi Aramco usando o vírus Shamoon em agosto de 2012. Este ataque comprometeu cerca de 30.000 computadores. A restauração levou cerca de duas semanas. Os sistemas informáticos da RasGas também foram afectados no mesmo mês por um vírus que alguns especialistas acreditam ser o Shamoon.