上周，Chronicle的安全专家宣布发现臭名昭着的Shamoon恶意软件的新变种，该样本在意大利石油服务公司Saipem宣布遭受网络攻击的时候上传到意大利的Virus Total。Saipem的300多台服务器已被Shamoon感染。

近日安全专家已经发现了新的Shamoon变种的不同样本，这表明攻击可能比最初预想的影响范围更大， 第二个样本于12月13日从荷兰上传至Virus Total。

Anomali实验室的恶意软件研究人员证实，第二个样本与此前Chronicle发现的样本不同。其触发日期为提前设定，但直至2017年12月12日，样本活动比设置的日期晚5天。研究人员推测，提前设定可能是为了恶意软件能立即在目标系统中执行指令。使用C2可以检索触发日期，但Anomali Labs 分析的样本不包括对命令和控制服务器的任何引用。

"这个新版本的Shamoon一个显著特征是它与早期版本的Shamoon相似度达80%，并且可以使用一个历史触发日期，这样一旦感染了用户的机器，它就可以立即执行破坏性操作。"

此次尽管尚未证实是伊朗APT组织的工作，但恶意软件的代码库，目标区域和目标地理位置都在曾经出现的攻击中被观察到，这些攻击被证实都源于伊朗的恶意分子。

新识别的样本由UPX打包，试图修改恶意软件的签名从而更难被检测到。新的Shamoon变体还在其文件描述中使用“VMWare 工作站”，试图利用合法的软件产品欺骗受害者。

Anomali实验室目前还没有将这个样本与一次活跃的网络攻击联系起来，不过他们分析它可能代表了Shamoon V3行动中的其他目标。