Verschillende beveiligingsbedrijven waarschuwen voor een nieuw schadelijk malware-exemplaar dat harde schijven met een foto van een overleden Syrische jongetje overschrijft, waardoor de computer onbruikbaar wordt. Dinsdag waarschuwde beveiligingsbedrijf McAfee als eerste voor de malware.

Nu hebben ook beveiligingsbedrijven FireEye en Palo Alto Networks een analyse online gezet. Volgens beide bedrijven gaat het om versie 2.0 van de Shamoon-malware die in 2012 voor het eerst verscheen en 30.000 computers van de Saoedische oliegigant Saudi Aramco saboteerde. De eerste Shamoon-versie gebruikte een foto van een brandende Amerikaanse vlag om de bestanden op de harde schijf te overschrijven. De nu ontdekte versie gebruikt een foto van een verdronken en aangespoeld Syrisch jongetje. Verder blijkt deze versie over vaste inloggegevens te beschikken die mogelijk bij een eerdere aanval zijn buitgemaakt. Het lijkt dan ook om een gerichte aanval te gaan, aldus de onderzoekers.

Eenmaal actief probeert de malware toegang tot verschillende gedeelde mappen te krijgen. Zodra de malware hiertoe toegang heeft verkregen wordt de Remote Registry-service van Windows ingeschakeld. Verder verandert de malware de systeemklok van de computer naar een datum in augustus 2012. Waarschijnlijk wordt dit gedaan om ervoor te zorgen dat de driver die de bestanden wist nog steeds is te gebruiken. Organisaties kunnen aan de hand van deze tijdswijziging, alsmede het inschakelen van Remote Registry en het toevoegen van Registersleutels, dan ook controleren of de malware op hun netwerk actief is.