Symantec descoperă un malware Linux folosit în atacurile din Coreea de Sud

by xServers on March 21, 2013

Atacurile au targhetat, de asemenea, master boot record-urile (MBR)computerelor ce rulau pe Windows.

avastCoreea de Sud investighează atacurile de miercuri care au întrerupt transmisia a cel puțin trei posturi de televiziune și activitatea online a patru bănci. Oficialii guvernamentali au recomandat să nu fie învinovățită Coreea de Nord pentru atacuri.

Specialiștii în securitate digitală de la Symantec au analizat codul utilizat în cyber-atacurile îndreptate împotriva Coreei de Sud și au descoperite componente de cod concepute pentru a distruge computerele infectate. Închis într-o porțiune de cod malware utilizat în atacuri asupra echipamentelor Windows, se găsește o componentă care șterge mașinile Linux, a descoperit un analist Symantec. Codul malware, denumit Jokra, este deosebit, spune Symnatec. „În mod normal nu vedem componente care lucrează pe mai multe sisteme de operare, așa încât a fost interesant să descoperim că atacatorii au inclus componente de ștergere a mașinilor Linux într-un virus WORM creat pentru Windows”, a scris compania într-un articol de blog.

Jokra caută pe echipamentele care rulează pe Windows XP și Windows 7 un program denumit mRemote, un instrument de acces la distanță utilizat în administrarea echipamentelor care rulează cu alte sisteme de operare, spune Symantec.

Și McAfee a publicat o analiză a codurilor de atac ce acționau asupra MBR-ului, primul sector al HDD-ului unui computer verificat înainte de a fi inițializat sistemul de operare. Peste MBR este scris unul dintre șirurile: „PRINCPES” sau „PR!NCPES”. Daunele pot fi permanente, spune McAfee. Dacă MBR-ul este corupt, computerul nu mai pornește. „Atacul  a mai rescris și părți la întâmplare ale fișierelor de sistem cu aceleași șiruri, unele dintre acestea devenind irecuperabile”, au scris Jorge Arias și Guilherme Venere, analiști malware la McAfee. „Deci, chiar dacă este recuperat MBR-ul, fișierele de pe disc tot vor fi compromise”.

Codul malware mai încearcă și să închidă produsele antivirus create de companiile Ahnlab și Hauri. O altă componentă, un BASH shell script, încearcă să șteargă partiții ale sistemelor UNIX, printre care Linux și HP-UX. Avast, un alt constructor de produse antivirus, a scris pe blog că originea atacurilor împotriva băncilor Coreei de Sud a fost depistată ca fiind Consiliul pentru drepturi de autor ale programelor software din Coreea de Sud. Site-ul acestuia a fost spart pentru a servi ca iFrame pentru livrarea atacului, care era găzduit pe un alt site, a spus Avast. Codul utilizat în atac exploatează o vulnerabilitate a browser-ului Internet Explorer care datează din Iulie 2012, care a fost reparat de către Microsoft.

Leave your comment

Required.

Required. Not published.

If you have one.


two − = 0