另外一方面，该歹意软件是基于时候触发的，在特定的时候2013年3月20日下战书14：00开端查抄系统的Windows版本，启动一个线程来直接写进歹意软件到硬盘中，粉碎MBR，该歹意软件还主动查抄韩国的防病毒软件AhnLabs，并且发现以后当即禁用。

　　具体阐发：

　　据 fireeye从样本分析得出结论，在样本中发现了HASTATI和PRINCPES两个字符串，该字符出出自罗马戎行，“HASTATI”是指罗马戎行步兵戎行三大年夜队列中最前面的前锋戎行。这个词的意思是第一列掉败后，第2、第三列继续战役，所以多是在暗示会策动第2、第三轮黑客报复打击。而 PRINCPES多是一个拼写弊端，准确的应当是Principes，Principes是指初期罗马共和***队中的长枪兵，后剑士，他们凡是位列在第二战线。

　　该歹意软件中存在一个计时器，在2013年3月20日下战书14：00开端激活，该功能经由过程GetLocalTime API实现，激活以后履行以下把持：

　　1) taskkill /F /IM pasvc.exe [AhnLab client]

　　2) taskkill /F /IM Clisvc.exepasvc.exe是AhnLab(注1)的客户端过程，经由过程taskkill结束pasvc.exe过程。

　　歹意软件会主动辨认受传染机械的把持系统版本，假定是Windows Vista或以上，那该软件会列举把持系统上的所有文件，并且利用关头字“HASTATI”或“PRINCPES”来笼盖文件，然后删除所有被笼盖的文件，让硬盘数据没法恢复。假定发现把持系统是Vista之前的版本，则笼盖硬盘的逻辑驱动器。

　　歹意软件列举所有物理驱动器并改写MBR.

　　利用HASTATI关头字粉碎MBR.

　　最后，经由过程调用Winexec API履行shutdown -r -t 0，封锁并重启把持系统。

　　按照fireeye公司阐发，此次报复打击韩国的算不上一个复杂的歹意软件，主如果行动主如果粉碎硬盘，fireeye公司供给了一个YARA法则，来帮忙研究人员阐发该歹意软件样本，以下：

　　rule Trojan_Hastati{

　　meta：version = “1″

　　description = “Korean campaign

　　strings：

　　$str11 = “taskkill /F /IM clisvc.exe” “

　　$str2 = “taskkill /F /IM pasvc.exe”

　　$str3 = “ shutdown -r -t 0″

　　condition

　　all of them

　　}

　　注 1：AhnLab，中文名称为：安博士。1995年成立的安博士有限公司是韩国首家从事开辟杀毒软件的企业，其总部设在首尔，是全球首批展开信息安然手艺研发的企业之一。2000年10月在北京成立了中国代表处，发布正式进进中国安然市场，并于2003年成立了北京安博士公司。