تیم واکنش اضطراری ایرانیان در خبری اعلام کرده است که یک ویروس جدید در کامپیوترهای شخصی ایران کشف کرده اند که داده های ذخیره شده بر روی حافظه جانبی سیستم ها را پاک می کند. این ویروس که لقب Batchwiper به آن داده اند، محتویات درایوهای D تا I کامپیوتر را از حافظه پاک می کند. علاوه بر این درایوها، محتویات دسکتاپ کاربری که عمل Log in انجام داده است نیز حذف می شود.
لقب BatchWiper از این جهت به این برنامه مخرب داده شده است که این برنامه مخرب درون یک فایل Batch بسته بندی شده است.
عمل حذف فایلها توسط این ویروس در تاریخ های معینی صورت می گیرد. تاریخ بعدی در 21 ژانویه سال 2013 خواهد بود. عملیات حذف فایلها پیش از این در تاریخ های 12 اکتبر، 12 نوامبر و 12 دسامبر 2012 نیز انجام شده بود. حدس زده می شود که برای حداقل دو ماه این ویروس خود را در بین سیستم های مختلف توزیع کرده است.
GrooveMonitor.exe فایل اصلی است که بعد از اجرا شدن، باقی فایلهای مخرب را از به سیستم قربانی تزریق می کند. اسامی زیر فایلهایی هستند که این فایل از درون خود استخراج می کند:
-- \WINDOWS\system32\SLEEP.EXE, md5: ea7ed6b50a9f7b31caeea372a327bd37
-- \WINDOWS\system32\jucheck.exe, md5: c4cd216112cbc5b8c046934843c579f6
-- \WINDOWS\system32\juboot.exe, md5: fa0b300e671f73b3b0f7f415ccbe9d41
فایل سوم پس از اجرا فایلی با مشخصات زیر را ایجاد می کند و سپس آن را اجرا می کند.
\Documents and Settings\%User%\Local Settings\Temp\1.tmp\juboot.bat
در هر صورت به نظر می رسد که این برنامه مخرب به طور وسیعی پخش نشده است. آنالیزها نشان می دهد که طرز کار این برنامه بسیار ساده است و بر خلاف ویروس هایی که چندی پیش خبر ساز شده بودند، طراحی ساده ای دارد.
ایرانیان پیشتر ادعای دست داشتن آمریکا و اسرائیل را در برنامه مخرب Flame و همچنین استاکس نت مطرح کرده بودند. تلاش این برنامه های مخرب برای اخلال در برنامه هسته ای جمهوری اسلامی ایران بود.
