Šī pētījuma rezultāti ir balstīti uz Wiper uzbrukumam pakļauto cieto disku attēlu detalizētu analīzi. Tie liecina par kaitīgās programmatūras unikālo darbības algoritmu, kas izraisīja pilnīgi visas informācijas dzēšanu un datorsistēmas iziešanu no ierindas.
Kaspersky Lab ekspertu veiktā analīze apstiprināja, ka kaitīgā programmatūra iznīcināja visus datus, ko varētu izmantot tās atklāšanai. Wiper sabojātas datorsistēmas cietajā diskā saglabātā informācija tika dzēsta bez tās atgūšanas iespējas. Neraugoties uz to, Kaspersky Lab ekspertiem izdevās iegūt ziņas par kaitīgas programmatūras izmantoto īpašo datu dzēšanas metodi, kā arī atsevišķu tās komponentu, piemēram, sistēmas reģistra, nosaukumiem, kas ļāva noteikt no cietā diska izdzēsto datņu nosaukumus. Piemēram, vairāku datņu nosaukumi sākās ar ~D, kas ir līdzīgi programmās Duqu un Stuxnet izmantotajiem datņu nosaukumiem.
Wiper darbības algoritma analīze parādīja, ka īpašā datu dzēšanas metode tika izmantota katrā datorā, kurā bija aktivizēta kaitīgā programmatūra. Destruktīvais algoritms tika lietots efektīvai datu dzēšanai bez to atgūšanas iespējas, turklāt vislielākajā iespējamajā ātrumā: vienlaikus varēja izdzēst gigabaitiem informācijas. 75% pārbaudīto disku dati bija pilnīgi izdzēsti. Galvenokārt uzmanība bija veltīta datu dzēšanai diska pirmās puses telpā. Pēc tam notika atlikušo par sistēmas darbību atbildīgo datņu sistemātiska iznīcināšana, līdz tā pārstāja darboties. Turklāt pētījuma gaitā noskaidrojās, ka īpaša uzmanība tika pievērsta PNF datņu iznīcināšanai. Jāpiezīmē, ka tieši šī veida datnes Duqu un Stuxnet izmantoja sava pamatkoda šifrētai uzglabāšanai.
Pagaidu datnes ar paplašinājumu TMP (Temporary files), kuru nosaukumi sākas ar ~D, ir sastopamas arī trojietī Duqu, kas ir izstādāts, izmantojot to pašu Tilded platformu kā Stuxnet. Balstoties uz šo informāciju, pētnieki sāka meklēt citu nezināmu datņu nosaukumus, kas ir izstrādātas, izmantojot Tilded platformu, un attiecas uz Wiper. Lai to veiktu, tika likta lietā uzraudzības mākoņsistēma Kaspersky Security Network (KSN), kas sniedz Kaspersky Lab ekspertiem telemetrijas datus lietotāja datorā atklāto kaitīgo programmatūru analīzei. Pētījuma gaitā tika konstatēts, ka vairākos Tuvo Austrumu reģionā izvietotos datoros atrodas datne «~DEB93D.tmp». Tās analīze ļāva Kaspersky Lab ekspertiem atklāt Flame, taču Wiper tā arī netika atrasts.
«Mūsu veiktā cieto disku attēlu detalizētā analīze ļauj pamatoti apgalvot, ka pastāv kaitīgā programmatūra Wiper, kas tika izmantota uzbrukumiem vairākām datorsistēmām Tuvajos Austrumos 2012.gada aprīlī, bet varbūt arī agrāk– sākot no 2011.gada decembra,» sacīja Kaspersky Lab galvenais antivīrusu eksperts Aleksandrs Gostevs. «Lai gan mērķtiecīgo Wiper meklējumu gaitā mums izdevās atklāt trojieti Flame, mēs esam pārliecināti, ka tās ir divas pilnīgi dažādas kaitīgās programmatūras ar atšķirīgiem mērķiem. Wiper mērķi, kā arī tās veidotāju noteiktu datņu nosaukumu izmantošana, kuru pēdas mums izdevās atklāt uzbrukumam pakļautajos datoros, ļauj secināt, ka tā ir saistīta ar kaitīgajām programmatūrām, kas izstrādātas, izmantojot Tilded platformu. Turklāt Flame ir pavisam citāda modulārā arhitektūra un tas ir paredzēts kiberspiegošanai. Bez tam Flame nebija destruktīvo funkciju, kas tika atklātas Wiper.»
Detalizēti kaitīgās programmatūras Wiper pētījuma rezultāti ir pieejami tīmekļa vietnē www.securelist.com.