Атаки, которые сокрушили десятки правительственных сайтов в Южной Корее за
последнюю неделю, заключали в себе еще один неприятный сюрприз: вредоносная
программа побуждает инфицированные компьютеры выполнить спонтанное
самоуничтожение.

DDoS-атаки были
обнаружены в пятницу
, они были направлены на сайты, принадлежащие президенту
Южной Кореи, Национальной разведывательной службе и Министерству иностранных
дел. Они бы не оставили никакого существенного следа если бы не пара интересных
деталей, выявленных исследователем в области безопасности из McAfee Георгом
Вичерски. Наиболее поражает то, что инфицированные зомби, использованные в
атаках, запрограммированы на уничтожение важных системных файлов, что может
вывести из строя компьютеры.

"Одно лишь ясно", — написал Вичерски в блоге. "Это серьезная вредоносная
программа. Она использует устойчивые техники для избежания уничтожения и даже
имеет разрушительные возможности в своем пейлоуде".

"Устойчивые техники" относятся к многоступенчатой командно-контрольной
структуре, которая распространяет вредоносные инструкции на двух уровнях, чтобы
сделать их более устойчивыми к реверс-инженерингу системы. Первая часть содержит
зашифрованный список серверов для второй группы управляющих компьютеров, которые
и рассылают команды к атаке.

Более того, первый ряд серверов физически расположен в десятках стран,
обеспечивая резервирование на случай если некоторые из них уничтожат.

Когда инфицированные боты достигают второго уровня, они получают список
сайтов для атаки. Но они также получают команды к самоуничтожению, которое
происходит вследствие затирания главной загрузочной записи на основном жестком
диске.

"Если ты хочешь уничтожить всю информацию на компьютере и впоследствии
сделать ее непригодной, это то, что надо", — сказал Вичерски.

Вредоносная программа также дает указания компьютерам осуществить затирание
многих других файлов, хранящихся на жестком диске, включая документы Microsoft
Office и файлы, используемые языками программирования, такими как C, C++ и Java.

Ботмастеры обладают определенной гибкостью в ситуации, когда механизм
саморазрушения запущен, но количество дней, в которых наступит разрушение,
ограничено 10. Переустановка даты на компьютере-зомби на время перед тем, как он
был инфицирован, немедленно активирует перезапись.



Оставить мнение