該惡意軟件中存在一個計時器,在2013年3月20日下午14:00開始激活,該功能通過GetLocalTime API實現,激活之後執行如下操作:
1) taskkill /F /IM pasvc.exe [AhnLab client] 2) taskkill /F /IM Clisvc.exe
pasvc.exe是AhnLab(注1)的客戶端進程,通過taskkill結束pasvc.exe進程,如下圖:
惡意軟件會自動識別受感染機器的操作系統版本,如果是Windows Vista或以上,那該軟件會枚舉操作系統上的所有文件,並且使用關鍵字“HASTATI”或“PRINCPES”來覆蓋文件,然後刪除所有被覆蓋的文 件,讓硬盤數據無法恢復。如果發現操作系統是Vista之前的版本,則覆蓋硬盤的邏輯驅動器,如下圖:
下圖顯示惡意軟件枚舉所有物理驅動器並改寫MBR
使用HASTATI關鍵字破壞MBR,如下圖:
最後,通過調用Winexec API執行shutdown -r -t 0,關閉並重啟操作系統,如下圖:
根據fireeye公司分析,此次攻擊韓國的算不上一個復雜的惡意軟件,主要是行為主要是破壞硬盤,fireeye公司提供了一個YARA規則,來幫助研究人員分析該惡意軟件樣本,如下:
rule Trojan_Hastati{
meta:version = “1″
description = “Korean campaign
strings:
$str11 = “taskkill /F /IM clisvc.exe” ”
$str2 = “taskkill /F /IM pasvc.exe”
$str3 = ” shutdown -r -t 0″
condition
all of them
}