郵件中附件的.rar文件是一個downloader����,它會連接數(shù)個惡意IP地址并下載9個文件��。企業(yè)內部的中央更新管理服務器也遭受入侵而被植入惡意程序����,更新管理機制讓這個惡意程序能夠相當快速的散播到所有連接此服務器的計算機。該惡意程序會新增數(shù)個組件�����,其中包含一個MBR(主啟動記錄,Master Boot Record)修改器����。
這個MBR修改器被設定成在3月20日下午2時啟動,當時間到了的時候��,MBR修改器就會復寫本地與遠程系統(tǒng)上的MBR���,讓計算機無法加載作業(yè)系統(tǒng)。
目前已知其中一臺被利用推送惡意程序的服務器是安博士(AhnLab��,韓國本地最大防病毒廠商)的更新服務器��。
網(wǎng)絡攻擊影響
在這次攻擊中��,多家韓國企業(yè)遭到數(shù)次攻擊����,業(yè)務嚴重中斷,受害企業(yè)的計算機黑屏�����,網(wǎng)絡凍結,無法正使用��。受害最嚴重的是媒體�����,網(wǎng)站無法更新�����,業(yè)務運行嚴重中斷�,恢復至少需要4到5天的時間,截止到發(fā)稿時間���,此次的攻擊目的尚未明確���,但可以肯定的是,此次攻擊是一次破壞性的行動����。
趨勢科技TDA監(jiān)測惡意附件
據(jù)趨勢科技消息,在本次網(wǎng)絡攻擊事件中����,韓國有部署趨勢科技TDA的客戶��,成功的監(jiān)測出此次攻擊相關的郵件中的惡意附件���,并定制了防御策略,幫助韓國的客戶實現(xiàn)發(fā)現(xiàn)威脅����,并做防護處理,成功的幫助客戶抵御了本次攻擊����。
趨勢科技表示:在一個趨勢科技的客戶環(huán)境中�����,我們能夠判斷至少在一天前����,也就是3月19日,他們就已經(jīng)遭遇了這個威脅��。然而借由趨勢科技威脅發(fā)現(xiàn)設備TDA的協(xié)助����,他們能夠提早知道并且采取防御措施���。
