Trojan.Jokraは、先日韓国の放送局や銀行で大規模なシステム停止を引き起こした脅威ですが、この Trojan.Jokra を解析したところ、別の Wiper が確認されました。
セキュリティ研究者が過去数日間、このトロイの木馬で確認された Wiper コンポーネントについて、特に各バージョンと実行のタイミングについて検証を続けてきました。その結果、4 つの亜種で以下の文字列が見つかっています。
- PRINCIPES
- HASTATI
- PR!NCPES
- HASTATI と PR!NCPES の組み合わせ
- PRINCPES
Wiper のうち 3 つは PIE(位置独立実行可能ファイル)として、残りの 1 つは DLL(ダイナミックリンクライブラリ)インジェクションとしてパッケージ化されています。実行のタイミングについても違いが見られます。
表. Trojan.Jokra の Wiper
2 つの亜種は、実行後ただちにコンピュータの内容を消去するように命令されており、他の 2 つは、2013 年 3 月 20 日午後 2 時と日時を指定して内容を消去するように命令されていました。
図. Trojan.Jokra の Wiper のカウントダウン
Trojan.Jokra などの脅威から確実に保護するために、お使いのコンピュータには最新のパッチを適用し、ウイルス対策定義も最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。