كشف بدافزار پاک‌سازی كننده سيستم‌های لينوكس در حملات كره جنوبی

شماره: IRCNE2013031799
تاريخ: 04/01/92

شركت‌هاي امنيتي كه در حال تحليل كد مورد استفاده در حملات سايبري عليه كره جنوبي بوده‌اند، اجزاي خرابكاري را كشف كرده‌اند كه براي تخريب كامپيوترهاي آلوده طراحي شده‌اند.
تحليل سايمانتك نشان مي‌دهد كه در درون يكي از بدافزارهاي ويندوزي مورد استفاده در اين حملات، جزئي قرار دارد كه سيستم‌هاي لينوكس را پاك مي‌كند. به گفته سايمانتك اين بدافزار كه Jokra ناميده مي‌شود، غيرمعمول است. اين شركت در بلاگ خود نوشت كه ما به‌طور معمول اجزايي را كه بر روي سيستم عامل‌هاي متعدد كار مي‌كنند، مشاهده نمي‌كنيم، در نتيجه كشف اينكه مهاجمان از جزئي درون يك تهديد ويندوزي براي پاكسازي سيستم‌هاي لينوكس استفاده مي‌كنند، جالب است.
به گفته سايمانتك، Jokra همچنين سيستم‌هايي را كه ويندوز XP و ويندوز 7 دارند در مورد وجود برنامه‌اي به نام mRemote بررسي مي‌كند كه يك ابزار دسترسي از راه دور است كه مي‌تواند براي مديريت تجهيزات بر روي پلتفورم‌هاي مختلف مورد استفاده قرار گيرد.
كره جنوبي در حال تحقيق بر روي حملات روز چهارشنبه گذشته است كه حداقل سه ايستگاه تلويزيوني و چهار بانك را تحت تأثير قرار داد.
مك‌آفي نيز تحليلي در مورد كد اين حمله منتشر كرده است كه بر روي ركورد راه‌اندازي اصلي (MBR) يك كامپيوتر نوشته شده بود. MBR نخستين سكتور از درايو سخت كامپيوتر است كه كامپيوتر پيش از راه‌اندازي سيستم عامل، آن را چك مي‌كند. MBR يك كامپيوتر توسط يكي از دو رشته مشابه PRINCPES يا PR!NCPES بازنويسي مي‌شود. به گفته مك‌آفي، تخريب ايجاد شده مي‌تواند هميشگي باشد. درصورتي‌كه MBR تخريب گردد، كامپيوتر قادر به راه‌اندازي نخواهد بود.
دو تحليلگر بدافزار در مك‌آفي نوشته‌اند كه اين حمله همچنين بخش‌هاي تصادفي از سيستم فايل را نيز توسط رشته‌هاي مشابه بازنويسي كرده است كه در نتيجه آن، فايل‌هاي زيادي غير قابل بازيابي شده‌اند.
اين بدافزار همچنين سعي مي‌كند محصولات آنتي‌ويروس كره جنوبي را كه توسط شركت‌هاي Ahnlab و Hauri ساخته شده‌اند، از كار بيندازد. يك جزء ديگر نيز سعي مي‌كند سيستم‌هاي يونيكس، لينوكس و HP-UX را پاك كند.