Windows-Malware Shamoon macht Rechner unbrauchbar

Sicherheitsunternehmen haben den neuen Schädling Shamoom (Symantec) oder Disttrack (McAfee) getauft. Offenbar zielt er vor allem auf Unternehmen in der Energiebranche, wie Experten bei Symantec vermuten.

Die Malware löscht Dokumente, Bilder, Videos und andere Inhalte von betroffenen Rechnern, indem es die Inhalte mit einem Bild überschreibt und so unbrauchbar macht. Shamoon ist dabei sehr gründlich. Nachdem auch systemrelevante Dateien gelöscht werden, kann der Nutzer anschließend das System nicht mehr booten. Denn auch die Dateien des Master Boot Record überschreibt der Schädling.

Die Sicherheitsexperten haben jetzt die ersten Exemplare dieses Schädlings entdeckt. Jedoch findet man Malware wie diese heute nur noch vereinzelt. Die Mehrzahl der Autoren ist derzeit bemüht, ihre Schädlinge für den Nutzer so unsichtbar wie möglich zu machen. Shamoon hingegen macht für den Nutzer keinen Hehl aus seiner Existenz.

Derzeit sei noch nicht sicher geklärt, wie sich dieser Schädling verbreitet. Dennoch sendet Shamoon auch Informationen an einen Server, darunter IP-Adresse, Domainnamen und auch die Anzahl der gelöschten Dateien.

“Bedrohungen mit einem derartig destruktivem Payload sind selten und in gerichteten Attacken sehr ungewöhnlich”, teilt Symantec in einem Blog mit. Einen Rechner, der von Shamoon betroffen war, wieder bootfähig zu machen, ist laut Symantec kein leichtes Unterfangen. Man muss entweder den Master Boot Record austauschen oder die Festplatte mit einem anderen Rechner verbinden, um wieder auf die Festplatte zugreifen zu können.

Shamoon, der seinen Namen von einem String in einem Malware-Ordner bekommt, scheint nicht sehr verbreitet zu sein, zielt offenbar auf Unternehmen der Öl-Industrie und des Energiesektors.