Sony Picturesへの攻撃に使われた破壊的不正プログラム、TrendMicroが解析

トレンドマイクロは12月4日、FBIが注意喚起している「破壊的な不正プログラム」の検体を入手し、解析したとブログで公開した。
ロイター報道によると、FBIによる注意喚起は11月にSony Picturesがサイバー攻撃を受けたことが原因だという。

この不正プログラムに感染したPCは、OSがインストールされているHDD上のマスターブートレコードを含むすべての情報が上書きされ、PCが起動不能に陥る。

トレンドマイクロの解析によると、不正活動の中心的な役割があるのは「diskpartmg16.exe」というプログラムだという。

diskpartmg16.exeは、コードの一部がユーザー名とパスワードと共に暗号化されている。これらのユーザー名とパスワードは、プログラムの検体の分割されたコード上で、XOR演算「0x67」によって暗号化され、共有ネットワークにログインするために利用される。ログインすると、PCの全アクセス権を取得しようと試みる。

diskpartmg16.exeは、「igfxtrayex.exe」という新たな不正プログラムを作成する。このプラグラムは、、実際の不正活動を実行する前に 10分間もしくは 60万ミリ秒間スリープする。