韓国の銀行と放送局が受けたサイバー攻撃については、第一報を本日すでにお伝えしました。その後、Linux コンピュータの内容を消去する機能を持つ追加のコンポーネントもこの攻撃に使われていることが確認されました。
 

図 1. リモートの Linux コンピュータを標的にする bash wiper スクリプト
 

Trojan.Jokra のドロッパーには、リモートの Linux コンピュータの内容を消去するモジュールが含まれています。複数のオペレーティングシステムで動作するコンポーネントが確認されることは珍しく、今回のように Linux コンピュータの内容を消去するコンポーネントが Windows マルウェアの内部に仕掛けられているのは異例のことです。このモジュールは Windows 7 と Windows XP のコンピュータで mRemote というアプリケーションを探します。mRemote は、複数のプロトコルに対応したオープンソースのリモート接続マネージャです。mRemote アプリケーションは、接続を保存する設定ファイルを以下のパスで管理しています。

%UserProfile%\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml
 

図 2. mRemote のパス情報の解析
 

Trojan.Jokra のドロッパーはこの XML ファイルを解析し、ルート権限で SSH プロトコルを使う接続を探します。そして、その接続で使われているパラメータを抽出します。
 

図 3. mRemote 設定ファイルの接続情報の解析
 

続いてドロッパーは新しいスレッドを生成し、bash スクリプトを %Temp%\~pr1.tmp に投下します。そのうえで、mRemote の設定ファイルから解析した接続情報を利用して、リモートの Linux コンピュータ上で /tmp/cups として、この一時ファイルをアップロードし、実行します。
 

図 4. リモートコマンドの実行
 

この bash スクリプトは、任意の Linux ディストリビューションで動作するように設計された wiper の一種です。SunOS、AIX、HP-UX の各ディストリビューションで特定のコマンドを使って実行されます。消去されるのは、/kernel、/usr、/etc、/home の各ディレクトリです。

シマンテックはこの攻撃の調査を続けており、詳しいことが判明し次第、更新情報をお届けする予定です。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。