Analiza omogoča vpogled v Wiperjevo visoko učinkovito metodo uničenja sistemov računalnikov, vključno z unikatnim vzorcem brisanja podatkov in uničujočim vzorcem obnašanja. Kljub temu da je raziskava Wiperja privedla do odkritja Flamea, Wiper ostaja neodkrit in je še vedno neidentificiran. Wiperjev učinkovit način uničevanja naprav je spodbudil posnemovalce k ustvarjanju novih zlonamernih programov kot so Shamoon, ki se je pojavil v avgustu 2012.

Ključne ugotovitve:
• Kaspersky Lab je potrdil, da je Wiper odgovoren za napade na računalniške sisteme v zahodni Aziji v obdobju 21. – 30. aprila 2012.
• Analiza slik trdega diska računalnikov, ki so bili uničeni s strani Wiperja je pokazala specifičen vzorec brisanja podatkov skupaj z določeno komponento zlonamernega programa, ki se je začela na ~D. Odkritja spominjajo na Duqu in Stuxnet, ki so prav tako uporabljali imena datotek, ki so se začela na ~D in bila zgrajena na isti platformi napadov – poznano kot Tilded.
• Kaspersky Lab je preko Kaspersky Security Networka (KSN) začel iskati tudi druge datoteke, ki se začenjajo z ~D z namenom najdbe drugih dodatnih datotek osnovanih na Wiperjevi osnovi in povezanih z Tilded platformo.
• Med tem procesom je Kaspersky Lab identificiral precejšnje število datotek v vzhodni Aziji imenovanih~DEB93D.tmp. Nadaljnje analize so pokazale, da je datoteka dejansko del drugega zlonamernega programa: Flamea. Tako je Kaspersky Lab odkril Flame.
• Čeprav je bil Flame odkrit med iskanjem Wiperja je raziskovalna ekipa Kaspersky Laba prepričana, da sta Wiper in Flame dva ločena in različna zlonamerna programa.
• Kljub temu da je Kaspersky Lab analiziral sledi Wiperjeve okužbe, je zlonamerni program še vedno nepoznan, saj se niso pojavili nobeni dodatni dogodki, ki bi sledili istemu vzorcu, prav tako zlonamernega programa Kaspersky Labova proaktivna zaščita ni zaznala.
• Wiper je bil izredno učinkovit in je spodbudil druge, da ustvarijo nove kopije zlonamernega programa, kot je Shamoon.

Forenzična analiza okuženih računalnikov
Analiza slik trdega diska pridobljenih iz uničenih naprav s strani Wiperja je pokazala, da je zlonamerni program brisal trde diske določenih sistemov in uničil vse podatke, ki bi lahko bili uporabljeni za prepoznavo zlonamernega programa. Datotečni sitem okužen z Wiperjem je preprečil računalnikom, da bi se ponovno zagnali in povzročil nepravilno splošno delovanje. Iz tega razloga v napravah, ki so bile analizirane po aktivaciji Wiperja skoraj ni nič ostalo, kar je onemogočilo možnost pridobitve ali obnovitve podatkov.

Kljub temu je raziskava Kaspersky Laba omogočila vpogled v specifičen vzorec brisanja zlonamernega programa in v imena določenih komponent zlonamernega programa ter v nekaterih primerih tudi ključe registrov, ki so razkrili imena prejšnjih datotek, ki so bila zbrisana s trdega diska. Ključi registrov so vsi kazali na datoteke, ki so se začele z ~D.

Specifičen vzorec brisanja
Analiza vzorca brisanja je pokazala konsistentno metodo, ki je bila izvedena na vsaki napravi okuženi z Wiperjem. Wiperjev algoritem je bil oblikovan za hitro uničenje toliko datotek kolikor jih je bilo mogoče učinkovito uničiti, kar je lahko znašalo tudi več gigabajtov. Podatki treh od štirih naprav so bili popolnoma zbrisani, pri temu je bila operacija fokusirana na uničenje prve polovice diska, nato pa sistematično brisanje ostalih datotek, ki so omogočali, da je disk deloval pravilno, kar je na koncu privedlo v sesujte sistema. Poleg tega vemo, da so Wiperjevi napadi usmerjeni zoper PNF datoteke, kar bi bilo brez pomena, če se ne bi navezovalo na odstranitev dodatnih zlonamernih datotek. To je bilo prav tako zanimivo odkritje, glede na to da sta bila Duqu in Stuxnet v glavnem delu kodirana v PNF datotekah.

Kako je iskanje Wiperja vodilo v odkritje Flamea
Začasne datoteke (TMP), ki so se začele na: ~D je prav tako uporabljal Duqu, ki je bil zgrajen na enaki platformi napadov kot Stuxnet: platforma Tilded. Na podlagi tega namiga je raziskovalna ekipa začela iskati potencialno nepoznana imena datotek povezanih z Wiperjem osnovanim na Tilded platformi. Raziskovanja so potekala s pomočjo KSN na podlagi platforme uporabljene s strani Kaspersky Labovih produktov za poročanje telematrije in za takojšnjo zaščito v obliki črnih seznamov in hevrističnih pravil oblikovanih za odkritje najnovejših groženj. Med tem procesom je raziskovalna ekipa Kaspersky Laba odkrila, da je precej računalnikov v zahodni Aziji vsebovalo ime datoteke »~DEF983D.tmp«. Tako je Kaspersky Lab odkril Flame; kljub temu pa Wiper ni bil odkrit s pomočjo te metode in ostaja neidentificiran.