日前，美國安全公司fireeye針對最近韓國遭受的網絡攻擊做出了一系列分析，在此次網絡攻擊行為中，使用的惡意軟件通過直接訪問\\.\PhysicalDrive來破壞硬盤的引導記錄（MBR），而且可以刪除硬盤上的文件。

另一方面，該惡意軟件是基于時間觸發的，在特定的時間2013年3月20日下午14:00開始檢查系統的Windows版本，啟動一個線程來直接寫入惡意軟件到硬盤中，破壞MBR，該惡意軟件還自動檢查韓國的防病毒軟件AhnLabs，并且發現之后立即禁用。

詳細分析：

據fireeye從樣本分析得出結論，在樣本中發現了HASTATI和PRINCPES兩個字符串，該字符出出自羅馬軍隊，“HASTATI”是指羅馬軍隊步兵部隊三大隊列中最前面的先鋒部隊。這個詞的意思是第一列失敗后，第二、第三列繼續戰斗，所以可能是在暗示會發動第二、第三輪黑客攻擊。而PRINCPES可能是一個拼寫錯誤，正確的應該是Principes，Principes是指早期羅馬共和國軍隊中的長槍兵，后劍士，他們通常位列在第二戰線。如下圖：

該惡意軟件中存在一個計時器，在2013年3月20日下午14:00開始激活，該功能通過GetLocalTime API實現，激活之后執行如下操作：

1)  taskkill /F /IM pasvc.exe [AhnLab client]

2)  taskkill /F /IM Clisvc.exepasvc.exe是AhnLab（注1）的客戶端進程，通過taskkill結束pasvc.exe進程，如下圖：

惡意軟件會自動識別受感染機器的操作系統版本，如果是Windows Vista或以上，那該軟件會枚舉操作系統上的所有文件，并且使用關鍵字“HASTATI”或“PRINCPES”來覆蓋文件，然后刪除所有被覆蓋的文件，讓硬盤數據無法恢復。如果發現操作系統是Vista之前的版本，則覆蓋硬盤的邏輯驅動器，如下圖：

下圖顯示惡意軟件枚舉所有物理驅動器并改寫MBR

使用HASTATI關鍵字破壞MBR，如下圖：

最后，通過調用Winexec API執行shutdown -r -t 0，關閉并重啟操作系統，如下圖：

根據fireeye公司分析，此次攻擊韓國的算不上一個復雜的惡意軟件，主要是行為主要是破壞硬盤，fireeye公司提供了一個YARA規則，來幫助研究人員分析該惡意軟件樣本，如下：

rule Trojan_Hastati{

meta:version = “1″

description = “Korean campaign

strings:

$str11 = “taskkill /F /IM clisvc.exe” ”

$str2 = “taskkill /F /IM pasvc.exe”

$str3 = ” shutdown -r -t 0″

condition

all of them

}

注1：AhnLab，中文名稱為：安博士。1995年成立的安博士有限公司是韓國首家從事開發殺毒軟件的企業，其總部設在首爾，是全球首批開展信息安全技術研發的企業之一。2000年10月在北京成立了中國代表處，宣布正式進入中國安全市場，并于2003年成立了北京安博士公司。