1、行為分析

該病毒對注冊表進行了操作：

2、靜態(tài)分析

IDA中打開該樣本，打開導入表，紅框內為病毒核心函數：

通過分析得知，該病毒的主要邏輯：

1.獲取系統(tǒng)窗口大?。?/span>

2.控制臺參數；

3.創(chuàng)建線程；

4.提示消息；

5.覆蓋引導扇區(qū)。

打開start函數

分析start函數偽代碼：

該函數主要功能為設置病毒窗口大小，并進行創(chuàng)建

PhysicalDriver0文件中應該儲存的是惡意代碼

病毒運行到main程序，輸出提示信息

病毒提權部分函數

可以看到程序提示染上病毒

程序會開啟很多線程

4.1、隨機獲取URL并在瀏覽器中打開

4.2、打開notepad，顯示提示消息

4.3、使鼠標失控

4.4、改變屏幕顯示

4.5、枚舉子窗口，窗口變形

4.6、播放聲音

4.7、插入鍵盤鼠標事件

4.8、使桌面變色

4.9 提示框消息

1、使用u盤進入PE系統(tǒng)，重建MBR分區(qū)，修復引導

2、不打開未知軟件和郵件

3、及時更新殺毒軟件

https://malware.wikia.org/zh/wiki/MEMZ

http://www.pianshen.com/article/1636845701/

http://tieba.baidu.com/p/5731258395

本文章僅用于學習目的，任何利用此文章提供的信息造成的直接或間接后果及損失，均由使用者本人負責，中新網絡信息安全有限公司及本文作者不為此行為承擔任何責任。