بدافزار پاكسازی كننده سیستم‌های لینوكس کشف شد

این حملات همچنین ركورد راه‌اندازی اصلی (MBR) سیستم‌های ویندوز را هدف قرار می‌دهند.

به گزرش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شركت‌های امنیتی كه در حال تحلیل كد مورد استفاده در حملات سایبری علیه كره جنوبی بوده‌اند، اجزای خرابكاری را كشف كرده‌اند كه برای تخریب كامپیوترهای آلوده طراحی شده‌اند.

تحلیل سایمانتك نشان می‌دهد كه در درون یكی از بدافزارهای ویندوزی مورد استفاده در این حملات، جزئی قرار دارد كه سیستم‌های لینوكس را پاك می‌كند. به گفته سایمانتك این بدافزار كه Jokra نامیده می‌شود، غیرمعمول است.

این شركت در وبلاگ خود نوشت كه ما به‌طور معمول اجزایی را كه بر روی سیستم عامل‌های متعدد كار می‌كنند، مشاهده نمی‌كنیم، در نتیجه كشف اینكه مهاجمان از جزئی درون یك تهدید ویندوزی برای پاكسازی سیستم‌های لینوكس استفاده می‌كنند، جالب است.

به گفته سایمانتك، Jokra همچنین سیستم‌هایی را كه ویندوز XP و ویندوز ۷ دارند در مورد وجود برنامه‌ای به نام mRemote بررسی می‌كند كه یك ابزار دسترسی از راه دور است كه می‌تواند برای مدیریت تجهیزات بر روی پلتفورم‌های مختلف مورد استفاده قرار گیرد.

كره جنوبی در حال تحقیق بر روی حملات روز چهارشنبه گذشته است كه حداقل سه ایستگاه تلویزیونی و چهار بانك را تحت تأثیر قرار داد.

مك‌آفی نیز تحلیلی در مورد كد این حمله منتشر كرده است كه بر روی ركورد راه‌اندازی اصلی (MBR) یك كامپیوتر نوشته شده بود.

MBRنخستین سكتور از درایو سخت كامپیوتر است كه كامپیوتر پیش از راه‌اندازی سیستم عامل، آن را چك می‌كند.

MBR یك كامپیوتر توسط یكی از دو رشته مشابه PRINCPES یا PR!NCPES بازنویسی می‌شود. به گفته مك‌آفی، تخریب ایجاد شده می‌تواند همیشگی باشد. درصورتی‌كه MBR تخریب گردد، كامپیوتر قادر به راه‌اندازی نخواهد بود.
دو تحلیلگر بدافزار در مك‌آفی نوشته‌اند كه این حمله همچنین بخش‌های تصادفی از سیستم فایل را نیز توسط رشته‌های مشابه بازنویسی كرده است كه در نتیجه آن، فایل‌های زیادی غیر قابل بازیابی شده‌اند.

این بدافزار همچنین سعی می‌كند محصولات آنتی‌ویروس كره جنوبی را كه توسط شركت‌های Ahnlab و Hauri ساخته شده‌اند، از كار بیندازد. یك جزء دیگر نیز سعی می‌كند سیستم‌های یونیكس، لینوكس و HP-UX را پاك كند.