郵件中附件的.rar文件是一個(gè)downloader����,它會(huì)連接數(shù)個(gè)惡意IP地址并下載9個(gè)文件�。企業(yè)內(nèi)部的中央更新管理服務(wù)器也遭受入侵而被植入惡意程序�,更新管理機(jī)制讓這個(gè)惡意程序能夠相當(dāng)快速的散播到所有連接此服務(wù)器的計(jì)算機(jī)。該惡意程序會(huì)新增數(shù)個(gè)組件��,其中包含一個(gè)MBR(主啟動(dòng)記錄�,Master Boot Record)修改器。
這個(gè)MBR修改器被設(shè)定成在3月20日下午2時(shí)啟動(dòng)�����,當(dāng)時(shí)間到了的時(shí)候����,MBR修改器就會(huì)復(fù)寫本地與遠(yuǎn)程系統(tǒng)上的MBR,讓計(jì)算機(jī)無(wú)法加載作業(yè)系統(tǒng)����。
目前已知其中一臺(tái)被利用推送惡意程序的服務(wù)器是安博士(AhnLab,韓國(guó)本地最大防病毒廠商)的更新服務(wù)器����。
網(wǎng)絡(luò)攻擊影響
在這次攻擊中��,多家韓國(guó)企業(yè)遭到數(shù)次攻擊���,業(yè)務(wù)嚴(yán)重中斷�,受害企業(yè)的計(jì)算機(jī)黑屏,網(wǎng)絡(luò)凍結(jié)���,無(wú)法正使用�����。受害最嚴(yán)重的是媒體�����,網(wǎng)站無(wú)法更新����,業(yè)務(wù)運(yùn)行嚴(yán)重中斷���,恢復(fù)至少需要4到5天的時(shí)間�����,截止到發(fā)稿時(shí)間���,此次的攻擊目的尚未明確����,但可以肯定的是�,此次攻擊是一次破壞性的行動(dòng)。
趨勢(shì)科技TDA監(jiān)測(cè)惡意附件
據(jù)趨勢(shì)科技消息�,在本次網(wǎng)絡(luò)攻擊事件中,韓國(guó)有部署趨勢(shì)科技TDA的客戶�,成功的監(jiān)測(cè)出此次攻擊相關(guān)的郵件中的惡意附件,并定制了防御策略�����,幫助韓國(guó)的客戶實(shí)現(xiàn)發(fā)現(xiàn)威脅�,并做防護(hù)處理,成功的幫助客戶抵御了本次攻擊��。
趨勢(shì)科技表示:在一個(gè)趨勢(shì)科技的客戶環(huán)境中�,我們能夠判斷至少在一天前,也就是3月19日�����,他們就已經(jīng)遭遇了這個(gè)威脅。然而借由趨勢(shì)科技威脅發(fā)現(xiàn)設(shè)備TDA的協(xié)助�,他們能夠提早知道并且采取防御措施。
