韓国で2013年3月20日に発生した大規模なサイバー攻撃について、韓国のセキュリティベンダーであるアンラボや米シマンテックといったセキュリティベンダーが相次いで情報を公開している(関連記事:韓国で大規模サイバー攻撃か、放送局や銀行のシステムがダウン)
アンラボは現地時間3月20日午後6時に同社Webサイト上で専用のワクチンソフトの提供を開始して、検査、治療を実施できる体制を整えている。同社Webサイトによると、今回のサイバー攻撃はマルウエアを利用したもので、感染するとハードディスクが破壊される。
Windows XPおよび同 2003 Serverでは、物理ディスクのMBR(マスターブートレコード)とVBR(ボリュームブートレコード)にゴミデータを書き込んでハードディスクを破壊する。Windows Vistaと同 7では、論理ドライブのすべてのファイル内容を削除してハードディスクを破壊する。
シマンテックはマルウエアと推測される「Trojan Horse/Trojan.Jokra」と「WS.Reputation.1」を検知しているとブログで解説している。
マルウエアによる攻撃では、まず自身を参照するファイル・マッピング・オブジェクトを作成する。続いて、「pasvc.exe」と「clisvc.exe」という、セキュリティソフトに関する2つのプロセスを停止させる。最終的にハードディスクを破壊する。破壊に使われるゴミデータとしては、「PRINCPES」や「HASTATI」といった文字列の書き込みが確認されているという。
今回の攻撃内容は目新しいものではなく、2012年8月に中東でも同様の被害を受けた組織が多くあったとしている。
[韓国アンラボのWebサイト]
[米シマンテックのブログ記事]
