免费人成网站免费看视频,国产免费踩踏调教视频,亚洲中文有码字幕日本,亚洲国产成人久久综合下载

漏洞分析|中新網安安全實驗室對MEMZ病毒分析報告

MEMZ是一種定制木馬,它使用高度復雜且唯一的有效載荷連續(xù)激活,前幾個有效載荷是無害的,最后一個有效載荷是您的PC完全無法使用,感染計算機后,病毒會顯示一條消息,通知用戶重啟計算機后將無法使用,因為計算機的MBR分區(qū)會被MEMZ重寫覆蓋,如果你通過任務管理器對其關閉,你的計算機將當場藍屏死機。



一、樣本信息




blob.png





二、病毒影響




運行病毒,會彈出很多軟件,并且瀏覽器軟件會打開多個頁面,桌面閃爍,彈出很多窗口,鼠標失控,桌面拉伸,運行到后面,電腦會藍屏,效果如下:

blob.png

blob.png

三、病毒分析



1、行為分析

該病毒對注冊表進行了操作:




1586997923990254.png



2、靜態(tài)分析

IDA中打開該樣本,打開導入表,紅框內為病毒核心函數:



blob.png



通過分析得知,該病毒的主要邏輯:

1.獲取系統(tǒng)窗口大?。?/span>

2.控制臺參數;

3.創(chuàng)建線程;

4.提示消息;

5.覆蓋引導扇區(qū)。

打開start函數



blob.png



分析start函數偽代碼:

該函數主要功能為設置病毒窗口大小,并進行創(chuàng)建





PhysicalDriver0文件中應該儲存的是惡意代碼



blob.png




blob.png


病毒運行到main程序,輸出提示信息



blob.png


 

病毒提權部分函數






3、OD動態(tài)分析
在靜態(tài)分析中,得到的關鍵函數下斷,運行程序
執(zhí)行外部MEMZ程序,并啟動watchdog

blob.png

blob.png



可以看到程序提示染上病毒



blob.png





blob.png



程序會開啟很多線程






四、線程分析



4.1、隨機獲取URL并在瀏覽器中打開

 


blob.png




blob.png



4.2、打開notepad,顯示提示消息



blob.png



4.3、使鼠標失控



blob.png



4.4、改變屏幕顯示





4.5、枚舉子窗口,窗口變形



blob.png




blob.png




blob.png



4.6、播放聲音





4.7、插入鍵盤鼠標事件





4.8、使桌面變色



blob.png



4.9 提示框消息



blob.png




五、解決方案



1、使用u盤進入PE系統(tǒng),重建MBR分區(qū),修復引導

2、不打開未知軟件和郵件

3、及時更新殺毒軟件



六、參考資料



https://malware.wikia.org/zh/wiki/MEMZ

http://www.pianshen.com/article/1636845701/

http://tieba.baidu.com/p/5731258395



七、免責申明



本文章僅用于學習目的,任何利用此文章提供的信息造成的直接或間接后果及損失,均由使用者本人負責,中新網絡信息安全有限公司及本文作者不為此行為承擔任何責任。


奉新县| 琼海市| 寻乌县| 论坛| 景宁| 黄冈市| 德庆县| 泽普县| 翁牛特旗| 旺苍县| 萨迦县| 屯门区| 天台县| 罗源县|