详细分析韩国网络攻击(Trojan.Hastati)
黑吧安全 发表于:13年04月03日 11:36 [转载] DOIT.com.cn
最后,通过调用Winexec API执行shutdown -r -t 0,关闭并重启操作系统,如下图:
根据fireeye公司分析,此次攻击韩国的算不上一个复杂的恶意软件,主要是行为主要是破坏硬盘,fireeye公司提供了一个YARA规则,来帮助研究人员分析该恶意软件样本,如下:
rule Trojan_Hastati{
meta:version = “1″
description = “Korean campaign
strings:
$str11 = “taskkill /F /IM clisvc.exe” ”
$str2 = “taskkill /F /IM pasvc.exe”
$str3 = ” shutdown -r -t 0″
condition
all of them
}
注 1:AhnLab,中文名称为:安博士。1995年成立的安博士有限公司是韩国首家从事开发杀毒软件的企业,其总部设在首尔,是全球首批开展信息安全技术研发的企业之一。2000年10月在北京成立了中国代表处,宣布正式进入中国安全市场,并于2003年成立了北京安博士公司。