13/03/21 15:08:19.03
韓国への大規模サイバー攻撃、攻撃内容はハードディスクの破壊
韓国で2013年3月20日に発生した大規模なサイバー攻撃について、韓国のセキュリティベンダーであるアンラボや米シマンテックといったセキュリティベンダーが相次いで情報を公開している。
アンラボは現地時間3月20日午後6時に同社Webサイト上で専用のワクチンソフトの提供を開始して、検査、治療を実施できる体制を整えている。
同社Webサイトによると、今回のサイバー攻撃はマルウエアを利用したもので、感染するとハードディスクが破壊される。
Windows XPおよび同 2003 Serverでは、物理ディスクのMBR(マスターブートレコード)とVBR(ボリュームブートレコード)にゴミデータを書き込んでハードディスクを破壊する。
Windows Vistaと同 7では、論理ドライブのすべてのファイル内容を削除してハードディスクを破壊する。
シマンテックはマルウエアと推測される「Trojan Horse/Trojan.Jokra」と「WS.Reputation.1」を検知しているとブログで解説している。
マルウエアによる攻撃では、まず自身を参照するファイル・マッピング・オブジェクトを作成する。
続いて、「pasvc.exe」と「clisvc.exe」という、セキュリティソフトに関する2つのプロセスを停止させる。最終的にハードディスクを破壊する。
破壊に使われるゴミデータとしては、「PRINCPES」や「HASTATI」といった文字列の書き込みが確認されているという。
今回の攻撃内容は目新しいものではなく、2012年8月に中東でも同様の被害を受けた組織が多くあったとしている。
URLリンク(itpro.nikkeibp.co.jp)
【Itpro】片山昌樹氏「韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因」[03/21]
スレリンク(news4plus板)l50