Un malware efface les disques durs en les forçant à rebooter
En Corée du Sud : une nouvelle attaque secrète ?
Le 2013-03-22 10:46:28, par Stéphane le calme, Chroniqueur Actualités
Les cabinets de sécurité Symantec, Avast et McAfee viennent de découvrir une nouvelle vague de programmes malveillants utilisés pour des cyberattaques vers des banques et d'autres organismes sud-coréens.
Les malwares sont identifiés par les noms Trojan.Jokra et Ws.Reputation.1. Après installation, ceux-ci créent un objet de mappage de fichiers pour se référencer en utilisant le nom : JO840112-CRAS8468-11150923-PCI8273V. Ensuite, ils arrêtent les deux processus liés aux fournisseurs locaux d’antivirus, notamment pasvc.exe et clisvc.exe.
Un listing de tous les lecteurs est effectué par ceux-ci avant le début d’une opération visant à écraser le Master Boot Record et toutes les données stockées en y écrivant la chaîne ‘PRINCIPES’ ou ‘HASTATI.’. Ce qui aurait pour effet d’effacer le contenu du disque dur en entier.
Les malwares obligent enfin l’ordinateur à redémarrer en exécutant ‘shutdown -r -t 0’, ce qui rend l’ordinateur inutilisable puisque la zone d’amorçage et le contenu du (des) disque(s) sont maintenant manquants.
« L'attaque a aussi écrasé des parties aléatoires du système de fichiers avec les mêmes chaînes de caractères, ce qui rend plusieurs fichiers irrécupérables », expliquent Jorge Arias et Guilherme Venere, deux analystes de logiciels malveillants de McAfee. « Donc, même si le MBR est restauré, les fichiers sur le disque seront aussi corrompus. »
Le malware tente également de fermer deux autres produits antivirus sud-coréens déployés par les entreprises AhnLab et Hauri. Une autre composante, un script shell bash, tente d'effacer les partitions systèmes Unix, y compris Linux et HP-UX.
Avast a écrit sur son blog que les attaques contre les banques sud-coréennes provenaient du site web du Korean Software Property Right Council. Pour lui, le site a été piraté et intègre un iframe qui délivre une attaque hébergée sur un autre site.
Selon Avast, le code d'attaque exploite une vulnérabilité d’IE datant de juillet 2012, bien qu’elle ait été corrigée par Microsoft.
La purge du disque n’est pas une nouveauté puisqu’en août 2012, le malware W32.Disttrack avait lui aussi causé des dommages similaires.
Ces attaques ne sont pas revendiquées, mais une montée en puissance de tensions politiques dans la péninsule coréenne est observée.
Source : blog Symantec , blog McAfee , blog Avast
Et vous ?
Les malwares sont identifiés par les noms Trojan.Jokra et Ws.Reputation.1. Après installation, ceux-ci créent un objet de mappage de fichiers pour se référencer en utilisant le nom : JO840112-CRAS8468-11150923-PCI8273V. Ensuite, ils arrêtent les deux processus liés aux fournisseurs locaux d’antivirus, notamment pasvc.exe et clisvc.exe.
Un listing de tous les lecteurs est effectué par ceux-ci avant le début d’une opération visant à écraser le Master Boot Record et toutes les données stockées en y écrivant la chaîne ‘PRINCIPES’ ou ‘HASTATI.’. Ce qui aurait pour effet d’effacer le contenu du disque dur en entier.
Les malwares obligent enfin l’ordinateur à redémarrer en exécutant ‘shutdown -r -t 0’, ce qui rend l’ordinateur inutilisable puisque la zone d’amorçage et le contenu du (des) disque(s) sont maintenant manquants.
« L'attaque a aussi écrasé des parties aléatoires du système de fichiers avec les mêmes chaînes de caractères, ce qui rend plusieurs fichiers irrécupérables », expliquent Jorge Arias et Guilherme Venere, deux analystes de logiciels malveillants de McAfee. « Donc, même si le MBR est restauré, les fichiers sur le disque seront aussi corrompus. »
Le malware tente également de fermer deux autres produits antivirus sud-coréens déployés par les entreprises AhnLab et Hauri. Une autre composante, un script shell bash, tente d'effacer les partitions systèmes Unix, y compris Linux et HP-UX.
Avast a écrit sur son blog que les attaques contre les banques sud-coréennes provenaient du site web du Korean Software Property Right Council. Pour lui, le site a été piraté et intègre un iframe qui délivre une attaque hébergée sur un autre site.
Selon Avast, le code d'attaque exploite une vulnérabilité d’IE datant de juillet 2012, bien qu’elle ait été corrigée par Microsoft.
La purge du disque n’est pas une nouveauté puisqu’en août 2012, le malware W32.Disttrack avait lui aussi causé des dommages similaires.
Ces attaques ne sont pas revendiquées, mais une montée en puissance de tensions politiques dans la péninsule coréenne est observée.
Source : blog Symantec , blog McAfee , blog Avast
Et vous ?
-
MoellenMembre à l'essai"Qu'en pensez-vous ?"
Que Microsoft reste le leader en matière d'outil d'infiltration pour la NSA et consortsle 09/07/2013 à 18:35 -
jmnicolasMembre éprouvéSoyons sérieux 2 minutes : la NSA est bien plus discrète que ça quand elle espionne ses alliés.
Le coupable tout trouvé est la Corée du Nord.
Ou alors c'est une manœuvre des US pour empêcher un rapprochement des 2 Corées en rejetant le blâme sur le nord.
Toutefois quand on voit le comportement du nord, la solution la plus simple semble la plus probable.le 09/07/2013 à 22:46 -
IndeedMembre à l'essaiLes motivations pourront être créer un besoin chez ces organismes envers un nouveau produit , qui sait
la logique du capitalisme , vous créer des besoins afin de vendrele 22/03/2013 à 12:41 -
alex_vinoMembre éméritePourquoi viser la Corée? (et indirectement de surcroit)
D'ailleurs pourquoi pas une organisation non-gouvernementale?
Il n'y a pas que en Corée qu'une Guerre peux arriver en ce moment et comme vous le dites ces attaques ne sont pas revendiquées.
Cet article lance une ouverture sans queue ni tete.Et comment donc pourrait-on le savoir justement?D’après votre analyse, quelles pourraient en être les motivations ?le 22/03/2013 à 13:22 -
AppMaestroMembre régulierJe suis pas un pro de la sécurité informatique mais je suis surpris que l'on puisse désactiver un A/V en tuant son processus (de mémoire Sophos ne le permet pas).
Quant à la motivation derrière c'est signé la Corée Du Nord : c'est les seuls qui utilisent des virus destructeurs. Tous les autres essayent de récupérer des infos.le 23/03/2013 à 16:03 -
alex_vinoMembre émériteSait-tu ce que la Russie a fait il y a 2 semaines? Il faut croire qu'on n'a pas tous la meme carte du Monde et les memes actualitésle 23/03/2013 à 20:57
-
leminipouceMembre éprouvéJe suis bien d'accord avec "jmnicolas". C'est d'un grossier à toute épreuve. Et l'article en ne relatant que 3 mots-clés incluant "armée américaine" dans le climat actuel d'espionnage de PRISM et compagnie attise une certaine américanophobie voire une haine de l'américain qui se justifie difficilement dans ce cas je trouve.
Je veux bien qu'on blâme les américains pour PRISM, mais de là à leur faire porter le chapeau pour tout et n'importe quoi...
- la France a elle aussi son réseau d'espionnage, très similaire à PRISM,
- tout un tas d'autres pays utilise les mêmes mécanismes,
- la Corée du Sud est un partenaire et un allié (entre autre militaire) américain de longue date,
- les US n'ont aucun intérêt à se mettre à mal avec la Corée du Sud,
- jouer à faire porter le chapeau au Nord est très risqué. De nombreux bâtiments américains se trouvent en mer de Corée du Sud et sur le territoire du Sud...
le 10/07/2013 à 11:05 -
hn2k5Membre éclairéIl faut savoir que les US revoient leur stratégie et commencent à songer sérieusement à l'Asie et tentent d'implanter des bases militaires un peu partout autour de la Chine.
Lire "Manière de voir : Où va l'Amérique" (Cap sur le Pacifique - Michael T. Klare).le 12/07/2013 à 12:08