机构名称:
¥ 1.0
HermeticWiper 以可执行文件的形式出现,该文件由颁发给 Hermetica Digital Ltd 的证书签名。它包含 32 位和 64 位驱动程序文件,这些文件通过 Lempel-Ziv 算法压缩,存储在其资源部分中。驱动程序文件由颁发给 EaseUS Partition Master 的证书签名。该恶意软件将根据受感染系统的操作系统 (OS) 版本删除相应的文件。驱动程序文件名是使用 Wiper 的进程 ID 生成的。一旦运行,Wiper 将损坏受感染计算机的主引导记录 (MBR),使其无法运行。除了破坏能力之外,Wiper 似乎没有任何其他功能。它利用一个签名的驱动程序,该驱动程序用于部署针对 Windows 设备的 Wiper,以导致启动失败的方式操纵主引导记录。数字证书是由塞浦路斯公司“Hermetica Digital Ltd”颁发的。 (注意:如果存在,该公司很可能不存在或无法运营)该证书截至 2021 年 4 月有效,但似乎未用于签署任何文件。 HermeticWiper 调整其进程令牌权限并启用 SeBackupPrivilege,这使恶意软件能够读取任何文件的访问控制,无论访问控制列表中指定了什么。一个恶意软件样本的大小为 114KB,其中大约 70% 由资源组成。它滥用良性分区管理驱动程序 empntdrv.sy
russia-ukraine-cyber-conflict-analyst-note-tlpwhite.pdf - HHS.gov
主要关键词
相关文件推荐
