1、行為分析

該病毒對注冊表進行了操作：

2、靜態(tài)分析

IDA中打開該樣本，打開導入表，紅框內(nèi)為病毒核心函數(shù)：

通過分析得知，該病毒的主要邏輯：

1.獲取系統(tǒng)窗口大??；

2.控制臺參數(shù)；

3.創(chuàng)建線程；

4.提示消息；

5.覆蓋引導扇區(qū)。

打開start函數(shù)

分析start函數(shù)偽代碼：

該函數(shù)主要功能為設置病毒窗口大小，并進行創(chuàng)建

PhysicalDriver0文件中應該儲存的是惡意代碼

病毒運行到main程序，輸出提示信息

病毒提權(quán)部分函數(shù)

可以看到程序提示染上病毒

程序會開啟很多線程

4.1、隨機獲取URL并在瀏覽器中打開

4.2、打開notepad，顯示提示消息

4.3、使鼠標失控

4.4、改變屏幕顯示

4.5、枚舉子窗口，窗口變形

4.6、播放聲音

4.7、插入鍵盤鼠標事件

4.8、使桌面變色

4.9 提示框消息

1、使用u盤進入PE系統(tǒng)，重建MBR分區(qū)，修復引導

2、不打開未知軟件和郵件

3、及時更新殺毒軟件

https://malware.wikia.org/zh/wiki/MEMZ

http://www.pianshen.com/article/1636845701/

http://tieba.baidu.com/p/5731258395

本文章僅用于學習目的，任何利用此文章提供的信息造成的直接或間接后果及損失，均由使用者本人負責，中新網(wǎng)絡信息安全有限公司及本文作者不為此行為承擔任何責任。