Symantec findet Linux Wischer Malware S. koreanische Angriffe

2014-01-08  |  Comebuy News

Sicherheitsanbieter, die Analyse des Codes in die Cyberattacken gegen Südkorea verwendet sind böse Bauteile infizierte Computern Wrack finden.

Comebuy Verwandte Artikel: Flamme der Bluetooth-Funktionalität könnte helfen, Spione, die Daten lokal, Forscher SaySymantec extrahieren: 2010 sah 3 Millionen Malware-AttacksMicrosoft Notfall Patch für Internet Explorer auf MondayWord Fehler in AttacksSpam-Konten verwendet wird, 86 % aller Emails zu veröffentlichen

Versteckt in ein Stück in die Angriffe verwendet Windows-Malware ist eine Komponente, die Linux-Maschinen, löscht eine Analyse von Symantec gefunden hat. Die Malware, die es Jokra genannt, ist ungewöhnlich, sagte Symantec.

"Wir nicht normalerweise Komponenten, die auf mehreren Betriebssystemen zu arbeiten, also es interessant ist festzustellen, dass die Angreifer ein Element der Linux-Maschinen innerhalb einer Windows-Bedrohung zu trocknen enthalten sehen," sagte das Unternehmen auf seinem Blog.

Jokra auch überprüft Computer unter Windows XP und 7 für ein Programm namens mRemote, der ein RAS-Tool zum Verwalten von Geräten auf verschiedenen Plattformen einsetzbar, so Symantec.

Südkorea untersucht die Mittwoch-Angriffe, die mindestens drei TV-Sender und vier Banken gestört. Regierungsbeamte, die angeblich zeigt Karte gegen Nordkorea die Schuld.

McAfee veröffentlicht auch eine Analyse des Angriffscode, der schrieb über master-Boot-Datensatz des Computers, die der erste Sektor der Festplatte des Computers ist, dass der Computer überprüft, bevor das Betriebssystem gestartet wird.

Eines Computers MBR wird mit einem der zwei ähnliche Zeichenfolgen überschrieben: "PRINCPES" oder "PR!NCPES." Der Schaden dauerhaft sein kann, schrieb McAfee. Wenn der MBR beschädigt ist, startet der Computer nicht.

"Der Angriff überschrieb auch zufällig Teile des Dateisystems mit den gleichen Zeichenfolgen, Rendern mehrerer Dateien nicht behebbarer," schrieb Jorge Arien und Guilherme Venere, beide Malware-Analysten von McAfee. "Also auch dann, wenn der MBR wiederhergestellt wird, werden die Dateien auf der Festplatte zu gefährdet."

Die Malware versucht auch, zwei südkoreanischen antivirus-Produkte, die von den Firmen Ahnlab und Hauri herunterzufahren. Eine weitere Komponente, ein BASH-Shell-Skript versucht, Löschen von Partitionen Unix-Systemen, einschließlich Linux und HP-UX.

Sicherheitsanbieter Avast schrieb in seinem Blog, dass die Angriffe gegen südkoreanische Banken von der Website von der koreanischen Software-Eigenschaft Recht Rat stammt.

Die Website wurde gehackt hatte auf einem Iframe zu dienen, die einen Angriff auf eine andere Website gehostet geliefert, sagte Avast. Der eigentliche Angriffscode nutzt eine Schwachstelle im Internet Explorer aus dem Juli 2012, die von Microsoft gepatcht hat.

Senden Sie News Tipps und Kommentare an jeremy_kirk@idg.com. Folge mir auf Twitter: @jeremy_kirk

« Back