該惡意軟件中存在一個計時器,在2013年3月20日下午14:00開始激活����,該功能通過GetLocalTime API實現(xiàn),激活之后執(zhí)行如下操作:
1) taskkill /F /IM pasvc.exe [AhnLab client]
2) taskkill /F /IM Clisvc.exepasvc.exe是AhnLab(注1)的客戶端進程�,通過taskkill結(jié)束pasvc.exe進程,如下圖:
惡意軟件會自動識別受感染機器的操作系統(tǒng)版本�,如果是Windows Vista或以上,那該軟件會枚舉操作系統(tǒng)上的所有文件���,并且使用關(guān)鍵字“HASTATI”或“PRINCPES”來覆蓋文件����,然后刪除所有被覆蓋的文件��,讓硬盤數(shù)據(jù)無法恢復(fù)。如果發(fā)現(xiàn)操作系統(tǒng)是Vista之前的版本���,則覆蓋硬盤的邏輯驅(qū)動器���,如下圖:
下圖顯示惡意軟件枚舉所有物理驅(qū)動器并改寫MBR
使用HASTATI關(guān)鍵字破壞MBR,如下圖:
最后���,通過調(diào)用Winexec API執(zhí)行shutdown -r -t 0�����,關(guān)閉并重啟操作系統(tǒng)�,如下圖:
根據(jù)fireeye公司分析����,此次攻擊韓國的算不上一個復(fù)雜的惡意軟件��,主要是行為主要是破壞硬盤�,fireeye公司提供了一個YARA規(guī)則,來幫助研究人員分析該惡意軟件樣本�,如下:
rule Trojan_Hastati{
meta:version = “1″
description = “Korean campaign
strings:
$str11 = “taskkill /F /IM clisvc.exe” ”
$str2 = “taskkill /F /IM pasvc.exe”
$str3 = ” shutdown -r -t 0″
condition
all of them
}
注 1:AhnLab,中文名稱為:安博士�����。1995年成立的安博士有限公司是韓國首家從事開發(fā)殺毒軟件的企業(yè),其總部設(shè)在首爾�,是全球首批開展信息安全技術(shù)研發(fā)的企業(yè)之一。2000年10月在北京成立了中國代表處��,宣布正式進入中國安全市場����,并于2003年成立了北京安博士公司。
