Trojaner Batchwiper löscht in Iran Festplatten-Partitionen und Dateien

Das iranische Computersicherheitszentrums Maher hat auf eine Gefährdung von Computern in dem Land aufmerksam gemacht. Obwohl die Software einfach designt sei, sei sie effizient und arbeite unerkannt von Antivirenprogrammen, heißt es auf der Maher-Website. Wie mehrere Virenforscher unabhängig voneinander bestätigten, löscht die als Batchwiper bezeichnete Software systematisch die Festplatten-Partitionen "D" bis "I", ebenso alle Dateien auf dem Windows-Desktop des gerade eingeloggten Nutzers.

Nach Erkenntnissen von Symantec löscht der Trojaner nur an bestimmten Terminen Dateien, zuletzt am 11., 12. und 13. Dezember. Die nächste Löschphase soll am 21. Januar starten, die letzte im Februar 2015.

Auf welchem Weg sich Batchwiper verbreitet, ist noch offen. Forscher von "AlienVault" vermuten, dass es beispielsweise über USB-Sticks geschieht oder per Spear-Phishing-Angriff, also in Form irreführender Trick-E-Mails, deren Inhalt auf den Adressaten zugeschnitten ist. Versteckt sein soll Batchwiper in einem selbstentpackenden RAR-Archiv mit dem Namen "GrooveMonitor.exe". Darin befinden sich auch noch weitere Dateien. Auch nach einem Neustart des Rechners bleibt die Software auf dem Computer.

Abgesehen davon, dass erneut der Iran betroffen ist, haben die Virenforscher keine größeren Ähnlichkeiten zu Schadsoftware wie Flame oder Stuxnet festgestellt. Den Stuxnet-Virus sollen die USA und Israel hergestellt haben, im Iran beschädigte er etwa tausend Uranzentrifugen irreparabel. Der Aufbau von Stuxnet gilt als hochkomplex. Flame und andere Viren aus der gleichen Familie scheinen eher Spionagezwecken zu dienen.