Iran CERT adalah bunyi alarm atas yang lain sedikit data-menghapus malware itu ditemukan pada PC di negara ini. Dijuluki Batchwiper, malware secara sistematis menyeka partisi drive apapun dimulai dengan huruf D melalui I Drive, bersama dengan file yang tersimpan pada desktop Windows pengguna yang login saat ini dijalankan
Mengapa penamaan Batchwiper? Nama itu dipilih karena malware ini dikemas dalam sebuah file batch.
Malware inisiat datanya menyeka rutin pada tanggal tertentu, yang berikutnya menjadi 21 Januari 2013. Namun, tanggal 12 Oktober, 12 November dan Desember 12, 2012, juga found in dalam konfigurasi malware ini, menunjukkan bahwa hal itu mungkin dalam distribusi selama sedikitnya dua bulan.
GrooveMonitor.exe adalah penetes asli, yang merupakan self-extracting RAR file, setelah dieksekusi itu ekstrak file berikut:
- \ WINDOWS \ system32 \ SLEEP.EXE, md5: ea7ed6b50a9f7b31caeea372a327bd37
- \ WINDOWS \ system32 \ jucheck.exe, md5: c4cd216112cbc5b8c046934843c579f6
- \ WINDOWS \ system32 \ juboot.exe, md5: fa0b300e671f73b3b0f7f415ccbe9d41
Kemudian juboot.exe dijalankan, yang menciptakan dan mengeksekusi file batch berikut:
\ Documents and Settings \%% Pengguna \ Local Settings \ Temp \ 1.tmp \ juboot.bat
Menurut penasehat CERT Iran, "Namun, hal itu tidak dianggap secara luas didistribusikan serangan ini ditargetkan sederhana dalam desain dan tidak ada kesamaan dengan serangan lainnya ditargetkan canggih.."
Di masa lalu, Iran telah menuduh AS dan Israel berada di balik serangan api serta virus Stuxnet. Serangan tersebut dipandang sebagai upaya untuk melumpuhkan en program nuklir Republik Islam itu, yang negara-negara Barat takut sedang digunakan untuk membuat bom.
