Linuxコンピュータを攻撃するスクリプト(シマンテックのブログより引用)
シマンテックは2013年3月21日、韓国を襲った大規模なサイバー攻撃についてブログ記事で追加の調査結果を公表した。Windowsコンピュータを攻撃するマルウエアが、Linuxコンピュータのデータを消去する挙動も示すことを見つけたという。
同社は調査結果の第一弾として、Windowsコンピュータを攻撃してハードディスクの情報を抹消するマルウエア「Trojan.Jokra」を検知したことを公表済み(関連記事)。その後の追加調査によって、Trojan.JokraからリモートのLinuxコンピュータを消去するモジュールも見つかった。Windowsマルウエアの内部に、Linuxコンピュータを攻撃するコンポーネントが仕掛けられているのは異例という。
具体的には、Trojan.Jokraに感染したWindowsコンピュータ上で、新たに発見されたモジュールがリモート接続アプリケーション「mRemote」を探す。mRemoteがある場合は設定ファイルを解析して、ルート権限でSSH接続できるLinuxコンピュータを探し出す。そして、データ消去するシェルスクリプトを作成して、Linuxコンピュータにアップロードして実行する。
これにより、攻撃されたLinuxコンピュータの「/kernel」、「/usr」、「/etc」、「/home」の各ディレクトリにあるファイルが抹消される。
[シマンテックのブログ記事:韓国でのサイバー攻撃で、リモートのLinux Wiper見つかる]
