郵件中附件的.rar文件是一個downloader�����,它會連接數(shù)個惡意IP地址并下載9個文件�����。企業(yè)內(nèi)部的中央更新管理服務(wù)器也遭受入侵而被植入惡意程序�,更新管理機(jī)制讓這個惡意程序能夠相當(dāng)快速的散播到所有連接此服務(wù)器的計(jì)算機(jī)。該惡意程序會新增數(shù)個組件�,其中包含一個MBR(主啟動記錄,Master Boot Record)修改器���。
這個MBR修改器被設(shè)定成在3月20日下午2時啟動���,當(dāng)時間到了的時候,MBR修改器就會復(fù)寫本地與遠(yuǎn)程系統(tǒng)上的MBR�,讓計(jì)算機(jī)無法加載作業(yè)系統(tǒng)。
目前已知其中一臺被利用推送惡意程序的服務(wù)器是安博士(AhnLab��,韓國本地最大防病毒廠商)的更新服務(wù)器�����。
網(wǎng)絡(luò)攻擊影響
在這次攻擊中��,多家韓國企業(yè)遭到數(shù)次攻擊�����,業(yè)務(wù)嚴(yán)重中斷,受害企業(yè)的計(jì)算機(jī)黑屏����,網(wǎng)絡(luò)凍結(jié)����,無法正使用。受害最嚴(yán)重的是媒體���,網(wǎng)站無法更新��,業(yè)務(wù)運(yùn)行嚴(yán)重中斷�,恢復(fù)至少需要4到5天的時間��,截止到發(fā)稿時間��,此次的攻擊目的尚未明確�����,但可以肯定的是�,此次攻擊是一次破壞性的行動。
趨勢科技TDA監(jiān)測惡意附件
據(jù)趨勢科技消息,在本次網(wǎng)絡(luò)攻擊事件中�����,韓國有部署趨勢科技TDA的客戶��,成功的監(jiān)測出此次攻擊相關(guān)的郵件中的惡意附件���,并定制了防御策略���,幫助韓國的客戶實(shí)現(xiàn)發(fā)現(xiàn)威脅,并做防護(hù)處理�,成功的幫助客戶抵御了本次攻擊。
趨勢科技表示:在一個趨勢科技的客戶環(huán)境中����,我們能夠判斷至少在一天前,也就是3月19日��,他們就已經(jīng)遭遇了這個威脅�。然而借由趨勢科技威脅發(fā)現(xiàn)設(shè)備TDA的協(xié)助,他們能夠提早知道并且采取防御措施�����。
