در سال 2012، ما مطلبی را در مورد آنالیز بدافزار شامون منتشر کردیم ، در این حمله شرکت ملی نفت و گاز عربستان سعودی مورد هدف قرار گرفته بود و توانسته بود 30.000 ایستگاه های کاری و سیستم های IT را حدود یک هفته مختل کند. حالا به نظر می رسد که شامون دوباره بازگشته است و نسخه ی جدید خود را پس از 5 سال منتشر کرده است، این بار این بدافزار توسط تکه ی دیگری از بدافزارها با قابلیتی مشابه اما بسیار پیشرفته تر و با تکنولوژی بالاتری به میان آمده است. نزدیک به دو هفته پیش برخی کمپانیهای امنیتی هشدار دادند که این بدافزار، بازگشتی نگرانکننده به صحنه داشته و دوباره هزاران کامپیوتر سازمان هوانوردی عربستان سعودی و دیگر نهادهای دولتی در این کشور را هدف حملات سهمگین خود قرار داده است. در حال حاضر نسخه دوم بدافزار شامون ۲ باهدف قرار دادن زیرساختهای انرژی عربستان، این کشور را فلج کرده است.
شامون 2 شباهت بسیار زیادی با نسخه ی اسبق خود دارد. اینطور که به نظر می رسد مجرمان با دقت تمام این حمله را برای هدف خاصی در نظر گرفته اند. بدافزار "شامون"به عنوان ابزاری شناخته میشود که کامپیوترها را به سیستمی بیحافظه و بیاستفاده تبدیل میکند. در این حمله اختیار کامل مدیر سیستم گرفته می شود و با باز تعریف مستربوت رکورد سیستمعامل ویندوز / MBR و پاک کردن فایلهای کامپیوتر، کل سیستم را در معرض تخریب و نابودی قرار میدهد. این بدافزار از یک تاریخ از پیش تعیین شده فعالیت داشته و سیستم قربانیان را به طور کامل تسلیم خود کرده است. شامون (Shamoon) پس از ورود به سیستمها و شبکههای قربانی، اطلاعات حساس را در فرآیندی که هنوز ناشناخته مانده میرباید و سپس همه اطلاعات موجود را بهگونهای غیرقابلبازگشت پاک میکند، به همین دلیل است که لقب شامون (پاک کننده) را به این بدافزار نسبت داده اند. بخش های مختلف حیاتی و اقتصادی در عربستان اهداف اصلی شامون 2 بوده است.
با این حال، در این دوره از بررسی این بدافزار جدید، ما چیزهای بیشتری را یافتیم: ما یک نمونه ی ناشناخته با لقب StoneDrill را یافتیم. در برخی جنبه ها ما آن را شبیه شامون می بینیم و از طرفی دیگر این دو بدافزار را دو زوجی می بینیم که هیچ ربطی به یکدیگر ندارند. اول از همه، هدف این بدافزار تنها به شرکت های کشور عربستان محدود نمی شود و حداقل یک قربانی را در اروپا یافته ایم. ویژگی دیگر StoneDrill، کمک گرفتن از چندین تکنیک برای گریز از تشخیص بدافزار است. بسیاری از این تکنولوژی های جلوگیری شبیه سازی از دیگر متدها است. به عنوان مثال، آن WinAPI متعددی را با پارامترهای نامعتبر بوجود می آورد. در واقع این بدافزارها بعد از سرقت اطلاعات و پاک کردن آنها و سپس بازنویسی مستر بوت تلاش میکند که سیستمعامل رایانه را تخریب کند.
خطرناک ترین چیزی که در مورد StoneDrill وجود دارد این است که فقط شناسایی می شود، به همین خاطر ما تکه های دیگر بدافزار را شناسایی کردیم. او خود را نمایان می کند و برای حملات بعدی با تهدیداتی مدرن آماده می شود، از این رو کارشناسان امنیتی باید خود را برای هرگونه حمله ی پیشرفته از سوی این بدافزار آماده کنند.