趨勢科技 T rendLabs 最近取得美國聯邦調查局(FBI)在12月2日警告美國公司之報告中所述的「破壞性」惡意軟體樣本。根據路透社報導,在最近的索尼影視(Sony Pictures)攻擊事件後,美國聯邦調查局發出警訊通知企業對這新的「破壞性」惡意軟體保持警覺。在本文撰寫時,索尼影視(Sony Pictures)入侵外洩事件和美國聯邦調查局所提惡意軟體間的關聯尚未得到確認。
美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為,據報其有能力去覆蓋電腦硬碟的所有資料(包括開機磁區),這會讓電腦無法開機。
下面是趨勢科技的調查分析結果:
BKDR_WIPALL惡意軟體分析
我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。
這裡的主要程式為diskpartmg16.exe(檢測為BKDR_WIPALL.A)。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼,如下圖所示:
圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼
這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密,然後用來登入共享網路。一旦登入,惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。
圖2、惡意軟體登入到網路的程式碼片段 繼續閱讀