Encuentran malware de MBR y JOKRA (contra Linux) empleado en ataques contra Corea del Sur

Los proveedores de seguridad que analizaron el código empleado en los ataques cibernéticos contra Corea del Sur encontraron componentes diseñados para arruinar a las computadoras infectadas.

Corea del Sur está investigando los ataques del miércoles que interrumpieron al menos 3 estaciones de televisión y 4 bancos. Los oficiales del gobierno supuestamente reportaron que la culpa es de Corea del norte.

McAfee también publicó un análisis del código atacante, el cual escribió sobre el master boot record de la computadora, además de ser el primer sector del disco duro que se procesa antes de iniciar el sistema operativo.

Dicho MBR (Master Boot Record) de una computadora es sobreescrito con una de las 2 cadenas: “PRINCPES” o “PR!INCPES”. El daño puede ser permanente, escribió McAfee. Si el MBR se corrompe, la computadora no va a iniciar.

“El ataque también sobreescribe partes aleatorias del sistema de archivos con las mismas cadenas, volviendo irrecuperables diversos archivos”, escribieron Jorge Arias y Guilherme Venere, ambos analistas de malware de McAfee. “Así que si el MBR se recupera, los archivos en el disco también estarán comprometidos”.

Un análisis de Symantec indicó que se alojada dentro de una pieza de malware de Windows empleada para atacar el componente que borra máquinas Linux. El malware, llamado Jokra, es inusual, dijo Symantec.

“Normalmente no vemos componentes que operen en múltiples sistemas operativos, así que es interesante descubrir que el atacante incluyó un componente para eliminar máquinas Linux dentro de los componentes Windows”, dijo la compañía en su blog.

Jokra también revisa las computadoras que ejecutan Windows XP y 7 en busca de un programa llamado mRemote, el cual es una herramienta de acceso remoto que puede ser empleada para administrar servicios en diferentes plataformas, dijo Symantec.
El malware también intentó apagar dos antivirus de Corea del Sur elaborados por las compañías Ahnlab y Hauri. Otro componente, un script del Shell BASH, intenta borrar particiones de los sistemas Unix, incluyendo Linux y HP-UX.

El proveedor de seguridad Avast escribió en su blog que los ataques contra los bancos de Corea del sur fueron originados en el sitio web del Consejo de Derecho del Software de Corea.
El sitio fue hackeado para servir un iframe que contenía un ataque alojado en otro sitio, dijo Avast. El código actual explota una vulnerabilidad en Internet Explorer conocida en julio de 2012 y que había sido corregida por Microsoft.

http://www.seguridad.unam.mx/noticia/?noti=925 Fuente