報道によれば、先週、韓国企業をワイパーマルウェアが襲った際に、韓国LGユープラス社のWebサイトも書き換えられていたとのことだ。

 以下はThe Registerからの引用だ。

The Register Report

 事件の関係者によれば、ワイパー攻撃の加害者として「Whois Team」に嫌疑がかけられている。ただしこれにはいまだ議論がある。

 Ars Technicaから以下を引用する。

Ars Technica Report

 我々が昨日、ワイパーのサンプル群を見て回ったところ、感染したシステム内のWebドキュメント(「.html」「.aspx」「.php」など)を検索するルーチンが含まれるバリアントを検出した。このマルウェアはこうしたドキュメントを、以下の動画とまったく同じように見えるドキュメントへ上書きする。



 このサンプルは、LGユープラス社のWebサイトの書き換えに用いられたものと明らかに関連があると考えている。

 当該サンプルには、他のワイパーのサンプルと同様のタイムスタンプがある。

 昨日の投稿にあったDLLワイパーのサンプルのタイムスタンプは次のようになっている。

DLL Wiper Timestamp

 書き換えを行ったワイパーのサンプルのタイムスタンプは以下だ。

Defacer-wiper Timestamp

 ただし、後者のバリアントではドライブの消去にまったく異なる方法を用いていた。こちらはMBR(Master Boot Record)に以下のコードを感染させ、次回起動した時にディスクを消去する。

Bootstrap Wiper

 また他のバリアントと異なり、このサンプルはファイルシステムを消去する際に「HASTATI」「PRINCIPES」といった文字列を用いていない。ファイルを「0」で上書きし、ランダムなファイル名に変更してから最終的にファイルを消去している。またWindowsとProgram Filesディレクトリ内で見つかったファイルは回避する。攻撃者は上書きしたページで感染したWebサーバを提供し続けたかったわけなので、これですべて意味が通る。

 では、攻撃同士が関連していると思われるか?関連しているというのが、もっともあり得る。これは別の攻撃メンバーによって実行されただけだ。