Атаки, которые сокрушили десятки правительственных сайтов в Южной
Корее за
последнюю неделю, заключали в себе еще один неприятный сюрприз:
вредоносная
программа побуждает инфицированные компьютеры выполнить спонтанное
самоуничтожение.
DDoS-атаки были
обнаружены в пятницу, они были направлены на сайты, принадлежащие
президенту
Южной Кореи, Национальной разведывательной службе и Министерству
иностранных
дел. Они бы не оставили никакого существенного следа если бы не пара
интересных
деталей, выявленных исследователем в области безопасности из McAfee
Георгом
Вичерски. Наиболее поражает то, что инфицированные зомби, использованные
в
атаках, запрограммированы на уничтожение важных системных файлов, что
может
вывести из строя компьютеры.
"Одно лишь ясно", - написал Вичерски в блоге. "Это серьезная
вредоносная
программа. Она использует устойчивые техники для избежания уничтожения и
даже
имеет разрушительные возможности в своем пейлоуде".
"Устойчивые техники" относятся к многоступенчатой
командно-контрольной
структуре, которая распространяет вредоносные инструкции на двух
уровнях, чтобы
сделать их более устойчивыми к реверс-инженерингу системы. Первая часть
содержит
зашифрованный список серверов для второй группы управляющих компьютеров,
которые
и рассылают команды к атаке.
Более того, первый ряд серверов физически расположен в десятках
стран,
обеспечивая резервирование на случай если некоторые из них уничтожат.
Когда инфицированные боты достигают второго уровня, они получают
список
сайтов для атаки. Но они также получают команды к самоуничтожению,
которое
происходит вследствие затирания главной загрузочной записи на основном
жестком
диске.
"Если ты хочешь уничтожить всю информацию на компьютере и
впоследствии
сделать ее непригодной, это то, что надо", - сказал Вичерски.
Вредоносная программа также дает указания компьютерам осуществить
затирание
многих других файлов, хранящихся на жестком диске, включая документы
Microsoft
Office и файлы, используемые языками программирования, такими как C, C++
и Java.
Ботмастеры обладают определенной гибкостью в ситуации, когда механизм
саморазрушения запущен, но количество дней, в которых наступит
разрушение,
ограничено 10. Переустановка даты на компьютере-зомби на время перед
тем, как он
был инфицирован, немедленно активирует перезапись. PS fixboot fixmbr ... надеюсь спасет "отца русской демократии")
| 
