Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

韓国への攻撃で見つかった新しい Wiper

Created: 28 Jun 2013 09:42:10 GMT • Updated: 28 Jun 2013 09:47:20 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

「DarkSeoul」と名付けられたグループによって韓国の Web サイトに対して実行された先日の分散サービス拒否(DDoS)攻撃については、昨日詳しくご報告したばかりです。韓国に対する以前の攻撃も同一のグループによる犯行と特定されており、なかでも 2013 年 3 月の Jokra 攻撃は、韓国の銀行やテレビ局にある膨大な数のコンピュータでハードディスク上のデータが消去されるという破壊的な被害をもたらしました。これらの攻撃についてその後も調査を進めた結果、類似のデータ消去攻撃を仕掛けようとする新しい脅威が確認されました。シマンテックはこれを Trojan.Korhigh として検出します。

韓国に対するこれまでの攻撃でシマンテックが確認した Wiper と同様、Trojan.Korhigh は侵入先のコンピュータで体系的にファイルを削除し、マスターブートレコード(MBR)を上書きしてそのコンピュータを使用不能にするという機能を持っています。Trojan.Korhigh は、侵入先のコンピュータでユーザーのパスワードを「highanon2013」に変更する、あるいは以下のファイルタイプに関連して特定のデータ消去命令を実行する、といった機能を追加するためのいくつかのコマンドラインスイッチを受信します。

  • asp
  • aspx
  • avi
  • bmp
  • dll
  • do
  • exe
  • flv
  • gif
  • htm
  • html
  • jpeg
  • jpg
  • jsp
  • mp4
  • mpeg
  • mpg
  • nms
  • ocx
  • php
  • php3
  • png
  • sys
  • wmv

Trojan.Korhigh は、侵入の証拠としてコンピュータの壁紙を変更する場合もあります。現時点で、攻撃者の正体は特定できていません。
 

111.png

図. Trojan.Korhigh の壁紙
 

また、侵入先のコンピュータについてシステム情報(オペレーティングシステムのバージョン、コンピュータ名、現在の日付など)を収集し、以下の IP アドレスに送信しようとする場合もあります。

  • 112.217.190.218:8080
  • 210.127.39.29:80

シマンテックはこの脅威の解析を続けており、韓国に対する攻撃も引き続き監視しています。保護対策として、シマンテックの最新技術と最新のウイルス対策定義をお使いいただくことをお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。