Атаки, которые сокрушили десятки правительственных сайтов в Южной Корее за
последнюю неделю, заключали в себе еще один неприятный сюрприз: вредоносная
программа побуждает инфицированные компьютеры выполнить спонтанное
самоуничтожение.
DDoS-атаки были
обнаружены в пятницу, они были направлены на сайты, принадлежащие президенту
Южной Кореи, Национальной разведывательной службе и Министерству иностранных
дел. Они бы не оставили никакого существенного следа если бы не пара интересных
деталей, выявленных исследователем в области безопасности из McAfee Георгом
Вичерски. Наиболее поражает то, что инфицированные зомби, использованные в
атаках, запрограммированы на уничтожение важных системных файлов, что может
вывести из строя компьютеры.
"Одно лишь ясно", - написал Вичерски в блоге. "Это серьезная вредоносная
программа. Она использует устойчивые техники для избежания уничтожения и даже
имеет разрушительные возможности в своем пейлоуде".
"Устойчивые техники" относятся к многоступенчатой командно-контрольной
структуре, которая распространяет вредоносные инструкции на двух уровнях, чтобы
сделать их более устойчивыми к реверс-инженерингу системы. Первая часть содержит
зашифрованный список серверов для второй группы управляющих компьютеров, которые
и рассылают команды к атаке.
Более того, первый ряд серверов физически расположен в десятках стран,
обеспечивая резервирование на случай если некоторые из них уничтожат.
Когда инфицированные боты достигают второго уровня, они получают список
сайтов для атаки. Но они также получают команды к самоуничтожению, которое
происходит вследствие затирания главной загрузочной записи на основном жестком
диске.
"Если ты хочешь уничтожить всю информацию на компьютере и впоследствии
сделать ее непригодной, это то, что надо", - сказал Вичерски.
Вредоносная программа также дает указания компьютерам осуществить затирание
многих других файлов, хранящихся на жестком диске, включая документы Microsoft
Office и файлы, используемые языками программирования, такими как C, C++ и Java.
Ботмастеры обладают определенной гибкостью в ситуации, когда механизм
саморазрушения запущен, но количество дней, в которых наступит разрушение,
ограничено 10. Переустановка даты на компьютере-зомби на время перед тем, как он
был инфицирован, немедленно активирует перезапись.
