昨天下午南韓幾家電視台銀行同時遭到強烈的網路攻擊,造成幾百台主機無法開機,經搶修後才陸續恢復. 據說公家單位的電腦未受波及,南韓政府還因此緊急將「情報作戰防禦態勢」提升至等級3. 

  受駭的電視台節目雖能正常播出,但公司內部數百台電腦死當,無法運做. 銀行的災情就比較嚴重,電子金融交易被迫中斷,銀行大門、ATM提款機都被緊急貼上暫停使用的封條.

  

   

 

最後他們的電腦畫面就像這樣,重新開機還是一樣... 

 

 

AegisLab也隨即取得此次事件的病毒樣本,當這隻病毒被執行後,首先它會用"HASTATI" 字元來複寫MBR (Master Boot Record),讓受害系統開不了機.

 

除了MBR 外, Partition Table 也砍了,有夠狠~

 

 

分析發現,這隻病毒包含下列指令:

1taskkill /F /IM pasvc.exe  => 終止「安博士防毒軟體」(安博士是南韓最大的防毒軟體)

2taskkill /F /IM Clisvc.exe  => 終止「ViRobot」 防毒軟體(ViRobot 是南韓 Hauri 公司的防毒軟體) 

3shutdown -r -t 0  => 立即重開機 

 

很明顯,這次就是衝著南韓而來...  

 

當執行  shutdown -r -t 0 之後,會出現這個藍色死亡畫面

 

 

接著重新開機後,就出現災情了...

 

 

提醒AegisLab Anti-Virus用戶隨時保持最新特徵碼,以保障您的網頁瀏覽安全.

 

by AegisLab