図1 今回のウイルスが感染したパソコンのMBR(米マカフィーの情報から引用)
[画像のクリックで拡大表示]
図2 改ざんされたWebページの例(ロシア カスペルスキーの情報から引用)
[画像のクリックで拡大表示]
セキュリティ企業各社は2013年3月20日以降、韓国の企業や組織を狙ったサイバー攻撃を解析し、その詳細を伝えている。この攻撃で使われたウイルス(マルウエア)はコンピューターを使用不能にすることが目的で、情報を盗み出す機能やコンピューターを乗っ取る機能などはないもよう。
3月20日、韓国の銀行や放送局を狙ったサイバー攻撃が行われ、それらのコンピューターシステムが一斉にダウンしたと伝えられた。報道などによれば、大規模なウイルス感染が発生し、社内で使用しているパソコンなどが使用不能になったという。
ウイルスが侵入した経緯や経路は不明だが、セキュリティ企業の英ソフォス、米シマンテック、米マカフィーなどはウイルスの検体を入手し、その解析結果を公表している。それらの情報によれば、今回のウイルスは、感染したパソコンを使用不能にする機能を備えているという。
シマンテックなどの情報によれば、今回の攻撃で使われたウイルスには、Windowsで動作するプログラムと、Linuxで動作するプログラムの両方が含まれるという。このため、いずれのOSにも感染するとしている。
Windowsで動作するウイルスプログラムの挙動は以下の通り。まず、感染したパソコンで動作しているプログラム(プロセス)をチェック。「pasvc.exe」あるいは「clisvc.exe」が動作している場合には、これらを停止する。
これらは、韓国のセキュリティ企業アンラボおよびハウリが提供するウイルス対策ソフト(セキュリティソフト)のプログラム。韓国では、両社のソフトが広く使われている。
