1739265

Linux-Lösch-Malware bei Südkorea-Attacke im Einsatz

21.03.2013 | 14:09 Uhr |

Sicherheitsexperten analysieren derzeit die Cyberattacken auf Südkorea und liefern die ersten Ergebnisse. Demnach wurde unter anderem eine Malware eingesetzt, die das Ziel hat, Linux-Rechner auszuschalten.

Die Sicherheitsexperten von Symantec haben bei der Analyse des Codes, der bei der Cyber-Attacke auf Südkorea verwendet wurde, eine Komponente entdeckt, die das Ziel hat, Linux-Rechner unschädlich zu machen. Laut einem Blog-Eintrag von Symantec ist es eher unüblich, dass in der Windows-Malware, die bei der Attacke zum Einsatz kam, eine Komponente steckt, die Linux-Maschinen löscht. Symantec hat die Malware auf den Namen "Jokra" getauft.

Die weitere Analyse von Jokra durch Symantec ergab, dass die Malware überprüft, ob auf dem befallenen Windows-Rechner die Remote-Software mRemote installiert ist, die für den Fernzugriff auf Rechner unterschiedlicher Plattformen verwendet werden kann.

Bei der Cyber-Attacke auf Südkorea verwendeten die wahrscheinlich aus Nordkoreas stammenden Hacker laut jüngsten Medienberichten chinesische Server. Die Attacke hatte mindestens drei südkoreanische Fernsehsender und vier Banken in Südkorea zum Ziel. Die südkoreanische Regierung hält sich noch damit zurück, Nordkorea für die Attacke verantwortlich zu machen.

McAfees Sicherheitsspezialisten haben die Attacke ebenfalls analysiert und fanden unter anderem heraus, dass bei der Attacke der Master Boot Record (MBR) der infizierten Rechner mit den Worten "PRINCPES" oder "PR!NCPES" überschrieben wurde und dadurch die Rechner nicht mehr starten konnten. Außerdem wurden Bereiche der Festplatten überschrieben und die Malware versucht, zwei in Südkorea populäre Antiviren-Programme unschädlich zu machen, falls sie auf dem befallenen Rechner installiert sind. Hinzu kommt laut McAfee eine Bash-Shell-Script-Komponente in der Malware, die Partitionen auf Unix-Systemen, wie Linux und HP-UX, löscht.

0 Kommentare zu diesem Artikel
1739265