索尼入侵事件新發現:強大的惡意程序BKDR_WIPALL
責編:admin |2014-12-08 19:31:20正如之前報道的一樣,攻擊者入侵了索尼公司計算機網絡并竊取了大量的數據,包括未發布的電影、員工數據、敏感商業信息等。近日,安全研究人員又有了新發現:索尼影視員工電腦屏幕上那張被黑圖片是由強大的惡意程序BKDR_WIPALL生成的。
惡意程序BKDR_WIPALL
趨勢科技的專家發現了一個叫做BKDR_WIPALL的惡意程序。BKDR_WIPALL.A是惡意程序發動攻擊的第一個階段,它是惡意程序最主要的組件,并可偽裝成一個叫做diskpartmg16.exe的可執行文件。
惡意程序BKDR_WIPALL.A采用XOR 0×67加密存儲了一系列的賬號密碼,惡意程序使用這些賬號密碼登錄辦公網絡,并進行全網計算機的感染。
一旦機器感染了BKDR_WIPALL.A,它就會在目標機器上生成客戶端BKDR_WIPAL.B,該程序會偽裝成一個叫做igfxtrayex.exe的文件。之后BKDR_WIPAL.B會休眠10分鐘,然后它就開始刪除計算機文件,終止微軟信息存儲服務(Microsoft Exchange Information Store)。接下來,BKDR_WIPAL.B會休眠2個小時,最后強制系統重新啟動。
這不禁讓人想起了前幾天FBI發布了一份長達5頁的機密警告,告誡美國企業警惕“格盤病毒”——這種病毒會覆蓋受害者硬盤上的數據,使其無法恢復,電腦即刻變磚。
BKDR_WIPAL.B還可以同時執行多個任務,如刪除文件、增加附加攻擊功能等。
被黑圖片的來源
索尼影視被入侵時,如同電影里的黑客入侵場面,其公司里的每臺電腦的屏幕都被篡改并顯示同一張圖片,上面寫道
Hacked by #GOP(由#GOP入侵)
除此之外,安全研究人員還發現了一個不同的惡意程序變體——BKDR_WIPAL.D,它會產生BKDR_WIPAL.C,而BKDR_WIPAL.C反過來又會生成一張名為walls.bmp的圖片,而它就是出現在全體索尼影視員工電腦屏幕上的那張圖片。