Среди новой волны атак на сайты правительственных организаций и сети средств массовой информации специалисты обнаружили очередной троян, уничтожающий данные на жёстких дисках и выводящих из строя компьютеры. Программа была обнаружена компанией Symantec и получила от неё название Trojan.Korhigh.
Его функциональность сходна с теми вредоносными программами, которые использовались при атаках в марте. Тогда их жертвами стали сети нескольких банков и крупнейших телерадиовещательных компаний. Причиной стал вирус под именем Jojka и теперь у него появился наследник в лице Korhigh. Он способен уничтожать хранимые на компьютерах данные и переписывать главную загрузочную запись жёсткого диска.
Korhigh может обрабатывать нескольких команд, наносящих дополнительный ущерб системе. Одна из них может поменять пароли на компьютере на «highanon2013». Другая команда уничтожает файлы определённого типа, в число которых входят .gif, .php, .dll и ещё 21 расширение.
Специалисты Symantec зафиксировали данный вирус в четверг, а днём ранее они объявили об идентификации группы хакеров под названием DarkSeoul, ответственной за мартовские атаки. Они же несут ответственность и за новую волну атак, начавшуюся во вторник и приуроченную к 63-годовщине Корейской войны. Также группа обвиняется во множестве атак на протяжении последних четырёх лет. Многие из них, как и в данном случае, были связаны с историческими датами, включали в себя DOS-атаки, политические лозунги при перезаписи данных и использование механизмов автоматического обновления сторонних приложений для заражения целей вирусами.
Именно последний способ использовался на этой неделе: был задействован механизм обновления файлового хранилища SimDisk. Вместе с обновлением приложения пользователи получали интегрированный в него вредоносный код, который начинал загружать запросами DNS-сервера, после чего ряд сайтов стали недоступны.
Этим беды Южной Кореи на прошлой неделе не исчерпываются. Вредоносное приложение PinkStats от нескольких групп китайских хакеров использовалось для атаки сетей организаций по всему миру, попутно инфицировав около тысячи компьютеров в Южной Корее. Данное открытие сделала израильская компания в сфере сетевой безопасности Seculert.