Willis McDonald e Loucif Kharouni, pesquisadores de ameaças seniores na Damballa, descobriram dois utilitários que estão associados ao malware Wiper. Malware este que ficou bastante conhecido ao ser usado para comprometer o desempenho das redes de computadores da Sony Pictures Entertainment no ano passado.

Na semana passada, os pesquisadores publicaram um texto onde explicam sobre o funcionamento de duas ferramentas que os atacantes utilizaram para evitar a detecção em redes da Sony. Ambos os utilitários tiveram demonstrações de uso, e eles foram chamados de “setMFT” e “afset”. O “SetMFT” é usado para copiar as configurações de data e hora a partir de um arquivo de origem no disco para um arquivo de destino, também chamado timestomping. Timestomping é uma técnica que, ao ser combinada com arquivos de nome semelhante, permite que um arquivo possa misturar-se em um diretório.

Leia mais:

• Malware é encontrado em 98% dos mais diversos setores de atuação empresariais
• Dell vai usar inteligência artificial para proteger PCs de malware
• Infecção por malware é o tormento do gestor de segurança da informação no Brasil
• “Malware do bem” corrige falhas em roteadores vulneráveis

Uma investigação forense em datas de registro dos arquivos e, possivelmente, referente aos arquivos de log, pode revelar que um determinado arquivo sofreu um “timestomped”; sem essa análise, no entanto, é possível esconder arquivos através da técnica referida a partir de verificação de arquivos maliciosos.