トレンドマイクロは12月4日、FBIが注意喚起している「破壊的な不正プログラム」の検体を入手し、解析したとブログで公開した。 ロイター報道によると、FBIによる注意喚起は11月にSony Picturesがサイバー攻撃を受けたことが原因だという。
この不正プログラムに感染したPCは、OSがインストールされているHDD上のマスターブートレコードを含むすべての情報が上書きされ、PCが起動不能に陥る。
トレンドマイクロの解析によると、不正活動の中心的な役割があるのは「diskpartmg16.exe」というプログラムだという。
|
トレンドマイクロのセキュリティ製品では、「diskpartmg16.exe」を「BKDR_WIPALL.A」という名前で検出する。上の画像は「WIPALL」の感染連鎖 |
diskpartmg16.exeは、コードの一部がユーザー名とパスワードと共に暗号化されている。これらのユーザー名とパスワードは、プログラムの検体の分割されたコード上で、XOR演算「0x67」によって暗号化され、共有ネットワークにログインするために利用される。ログインすると、PCの全アクセス権を取得しようと試みる。
|
暗号化されたユーザ名とパスワードを含む「BKDR_WIPALL.A」のコード |
|
ネットワークにログインする不正プログラムのコードの一部 |
|
標的にされたホスト名 |
diskpartmg16.exeは、「igfxtrayex.exe」という新たな不正プログラムを作成する。このプラグラムは、、実際の不正活動を実行する前に 10分間もしくは 60万ミリ秒間スリープする。ユーザーの作成したファイルを勝手に削除するほか、「Microsoft Exchange Information Store」サービスを停止した後に2時間スリープする。その後、PCを強制的に再起動させる。
|
「igfxtrayex.exe」は「BKDRWIPALL.B」として検出される。「BKDRWIPALL.B」は 10分間スリープする |
|
暗号化されたユーザ名およびパスワードは「BKDR_WIPALL.B」でも確認できる |
|
「BKDR_WIPALL.B」(igfxtrayex.exe)の主な不正活動のコード |
|
強制的に PC を再起動させるコード |
また、「taskhost<ランダムな 2文字>.exe」と名付けられた複数のコピーを以下のパラメータ上に実行する。
- taskhost<ランダムな 2文字>.exe -w(コンポーネント "Windows\iissvr.exe" の作成および実行)
- taskhost<ランダムな 2文字>.exe -m("Windows\Temp\usbdrv32.sys" の作成および実行)
- taskhost<ランダムな 2文字>.exe -d(すべての固定ドライブおよびリモート(ネットワーク)ドライブ上のファイルを削除)
|
固定およびネットワークドライブ上のすべてのファイルを削除する不正プログラム |
|
「BKDR_WIPALL.B」のコンポーネント |
|
「BKDR_WIPALL.B」は物理ドライブを上書きする |
他の亜種を解析したところ、Windows ディレクトリにファイル「walls.bmp」を作成することがわかった。これは、11月月にSony Picturesへの攻撃で「hacked by #GOP」と書かれた壁紙と同一だと推測できるとしている。
|
作成された壁紙 |
