シマンテックは同社のブログの中で、3月20日に発生した韓国の銀行/放送局などに対するサイバー攻撃の手法を明かしている。
それによると、今回の攻撃では、銀行や放送局だけでなく、ISP/電気通信プロバイダのサイトも改ざんされたうえ、多くの組織のサーバーが停止した。改ざんされたサイトでは、アニメーション付きのWebページが出現。効果音が流れて3つのどくろが現れ、「Whois」集団を名乗る攻撃者の手によると称するメッセージが表示される現象が起きていたという。また、攻撃を受けたサイトの多くはハードディスクが消去され、該当するコンピュータが機能不全に陥っていた。
シマンテックでは、攻撃に使われたと思しきマルウェアをTrojan Horse/Trojan.Jokra、WS.Reputation.1として検出。「現在、詳細を解析中」としているが、これらのマルウェアは以下の処理を実行するという。
- ファイルマッピングオブジェクトを作成し、JO840112-CRAS8468-11150923-PCI8273Vという名前で自身を参照する。
- 韓国のウイルス対策/セキュリティ製品ベンダーに関連する「pasvc.exe」、「clisvc.exe」の2つのプロセスを停止する。
- ドライブをすべて列挙し、MBRとそこに保存されているデータを"PRINCPES"または"HASTATI."という文字列で上書きする。これによって、ハードディスクの内容がすべて消去される。
- 攻撃を受けたコンピュータに接続されている、またはマップされているドライブがあれば、そのドライブでも同様の消去処理を実行しようとする場合がある。
- "shutdown -r -t 0" を実行して、コンピュータを強制的に再起動する。MBRとドライブの内容がなくなっているため、システムは使用不可になる。
なお、ディスク消去は、2012年8月のインシデントでも報告されるなど、珍しい攻撃ではないという。8月のインシデントでは、中東の多くの組織が「W32.Disttrack(Shamoon)」という脅威に攻撃され、ハードディスク消去によって被害を受けていた。