正如之前的报道一样,攻击者入侵了索尼公司计算机网络并窃取了大量的数据,包括未发布的电影、员工数据、敏感商业信息等。近日,安全研究人员又有了新发现:索尼影视员工电脑屏幕上那张被黑图片是由强大的恶意程序BKDR_WIPALL生成的。
恶意程序BKDR_WIPALL
趋势科技的专家发现了一个叫做BKDR_WIPALL的恶意程序。BKDR_WIPALL.A是恶意程序发动攻击的第一个阶段,它是恶意程序最主要的组件,并可伪装成一个叫做diskpartmg16.exe的可执行文件。
恶意程序BKDR_WIPALL.A采用XOR 0×67加密存储了一系列的账号密码,恶意程序使用这些账号密码登录办公网络,并进行全网计算机的感染。
一旦机器感染了BKDR_WIPALL.A,它就会在目标机器上生成客户端BKDR_WIPAL.B,该程序会伪装成一个叫做igfxtrayex.exe的文件。之后BKDR_WIPAL.B会休眠10分钟,然后它就开始删除计算机文件,终止微软信息存储服务(Microsoft Exchange Information Store)。接下来,BKDR_WIPAL.B会休眠2个小时,最后强制系统重新启动。
这不禁让人想起了前几天FBI发布了一份长达5页的机密警告,告诫美国企业警惕“格盘病毒”——这种病毒会覆盖受害者硬盘上的数据,使其无法恢复,电脑即刻变砖。
BKDR_WIPAL.B还可以同时执行多个任务,如删除文件、增加附加攻击功能等。
被黑图片的来源
索尼影视被入侵时,如同电影里的黑客入侵场面,其公司里的每台电脑的屏幕都被篡改并显示同一张图片,上面写道
Hacked by #GOP(由#GOP入侵)
除此之外,安全研究人员还发现了一个不同的恶意程序变体——BKDR_WIPAL.D,它会产生BKDR_WIPAL.C,而BKDR_WIPAL.C反过来又会生成一张名为walls.bmp的图片,而它就是出现在全体索尼影视员工电脑屏幕上的那张图片。