Новые подробности DDoS-атак на сайты Южной Кореи
Атаки, которые сокрушили десятки правительственных сайтов в Южной Корее за последнюю неделю, заключали в себе еще один неприятный сюрприз: вредоносная программа побуждает инфицированные компьютеры выполнить спонтанное самоуничтожение.
DDoS-атаки были обнаружены в пятницу, они были направлены на сайты, принадлежащие президенту Южной Кореи, Национальной разведывательной службе и Министерству иностранных дел. Они бы не оставили никакого существенного следа если бы не пара интересных деталей, выявленных исследователем в области безопасности из McAfee Георгом Вичерски. Наиболее поражает то, что инфицированные зомби, использованные в атаках, запрограммированы на уничтожение важных системных файлов, что может вывести из строя компьютеры.
"Одно лишь ясно", — написал Вичерски в блоге. "Это серьезная вредоносная программа. Она использует устойчивые техники для избежания уничтожения и даже имеет разрушительные возможности в своем пейлоуде".
"Устойчивые техники" относятся к многоступенчатой командно-контрольной структуре, которая распространяет вредоносные инструкции на двух уровнях, чтобы сделать их более устойчивыми к реверс-инженерингу системы. Первая часть содержит зашифрованный список серверов для второй группы управляющих компьютеров, которые и рассылают команды к атаке.
Более того, первый ряд серверов физически расположен в десятках стран, обеспечивая резервирование на случай если некоторые из них уничтожат.
Когда инфицированные боты достигают второго уровня, они получают список сайтов для атаки. Но они также получают команды к самоуничтожению, которое происходит вследствие затирания главной загрузочной записи на основном жестком диске.
"Если ты хочешь уничтожить всю информацию на компьютере и впоследствии сделать ее непригодной, это то, что надо", — сказал Вичерски.
Вредоносная программа также дает указания компьютерам осуществить затирание многих других файлов, хранящихся на жестком диске, включая документы Microsoft Office и файлы, используемые языками программирования, такими как C, C++ и Java.
Ботмастеры обладают определенной гибкостью в ситуации, когда механизм саморазрушения запущен, но количество дней, в которых наступит разрушение, ограничено 10. Переустановка даты на компьютере-зомби на время перед тем, как он был инфицирован, немедленно активирует перезапись.