在Shamoon惡意軟件的詳細分析報告中，研究人員已經發現并確定了用來散播Shamoon的服務器。Shamoon惡意軟件的活躍度較高，在沙特阿拉伯和伊朗網絡戰中正發揮著巨大的作用。

Shamoon，這種病毒被注名為“W32.Disttrack”以及“W32.EraseMBR”，也被稱為Disttrack。Shamoon的主要能力是可以從受感染的設備上清除數據。執行文件里包含了“wiper”字段，以及“ArabianGulf”字段。這一字段也曾在Flame病毒中出現過，Flame曾被認為是由美國和以色列政府共同研發用以攻擊伊朗核能源部門的惡意攻擊軟件。

Shamoon惡意軟件于 2012年浮出水面，當時感染了全球最大石油生產公司沙特阿美（Saudi Aramco）3萬個工作站，擦除了硬盤數據，使沙特阿美陷入恐慌。自那之后，攻擊者不斷完善該惡意軟件，持續攻擊沙特政府和行業的高價值目標，最近一次攻擊發生在上個月。

目前，IBM X-Force事件響應和情報服務（IRIS）團隊的研究人員認為，他們已經破解了Shamoon操作人員使用的傳播技術。研究人員可能知道攻擊者如何讓惡意軟件進入系統，這為IT經理提供絕佳機會，以便IT經理在Shamoon破壞數據之前發現是否存在感染問題。

首先，攻擊者會冒充受信任的人向目標企業的員工發送電子郵件，并附加Word文檔，將其命名為簡歷、健康保險文件或密碼政策指南。例如，郵件消息可能顯示來自IT Worx（一家埃及軟件公司）或沙特阿拉伯商務部和投資部。

如果受害者打開附件，文件中的宏將執行兩個Powershell腳本。第一個腳本會通過HTTP從139.59.46【.】154:3485/eiloShaegae1下載并執行另一個Powershell腳本。第二個腳本使用VirtualAlloc庫調用創建內存緩沖區，通過HTTP從45.76【.】128.165:4443/0w0O6獲取Shell代碼，將其復制到緩沖區，然后使用CreateThread執行代碼。之后，該線程（Thread）會創建另一個緩沖區，通過HTTP用45【.】76.128.165:4443/0w0O6的PowerShell腳本填充緩沖區，并運行。

IBM報告稱，“基于對惡意文件的觀察，我們發現后續的Shell會話可能與Metasploit的Meterpreter有關，可用來部署附加工具，并對三個與Shamoon相關的文件（ntertmgr32.exe、ntertmgr64.exe和vdsk911.sys）進行前期部署。”

研究團隊還識別了托管惡意可執行文件，并用來實施攻擊的兩個Web域名。Ntg-sa.com模仿網站ntg.sa.com（沙特石油化工支持公司Namer Trading Group的域名），而maps-modon.club與沙特工業產權局（Saudi Industrial Property Authority）的域名 — maps.modon【.】gov.sa domain類似。

IBM建議，首先禁止來自這些域名和上述IP地址的連接，并掃描網絡，檢查是否有用戶被感染。通常，攻擊者在部署主要的Shamoon有效荷載之前，會使用這些被感染的設備進行偵查并盜取憑證。

Shamoon繼續實施攻擊的可能性極大，因為伊朗與沙特阿拉伯之間似乎在通過惡意軟件博弈。伊朗指責沙特去年通過黑客事件導致多個石油工廠起火，而沙特阿拉伯則公開指責Shamoon出自伊朗之手。