MEMZ是一種定制木馬,它使用高度復(fù)雜且唯一的有效載荷連續(xù)激活,前幾個有效載荷是無害的,最后一個有效載荷是您的PC完全無法使用,感染計算機后,病毒會顯示一條消息,通知用戶重啟計算機后將無法使用,因為計算機的MBR分區(qū)會被MEMZ重寫覆蓋,如果你通過任務(wù)管理器對其關(guān)閉,你的計算機將當場藍屏死機。
一、樣本信息二、病毒影響三、病毒分析1、行為分析 該病毒對注冊表進行了操作: 2、靜態(tài)分析 IDA中打開該樣本,打開導(dǎo)入表,紅框內(nèi)為病毒核心函數(shù): 通過分析得知,該病毒的主要邏輯: 1.獲取系統(tǒng)窗口大小; 2.控制臺參數(shù); 3.創(chuàng)建線程; 4.提示消息; 5.覆蓋引導(dǎo)扇區(qū)。 打開start函數(shù) 分析start函數(shù)偽代碼: 該函數(shù)主要功能為設(shè)置病毒窗口大小,并進行創(chuàng)建 PhysicalDriver0文件中應(yīng)該儲存的是惡意代碼 病毒運行到main程序,輸出提示信息
病毒提權(quán)部分函數(shù) 可以看到程序提示染上病毒 程序會開啟很多線程 四、線程分析4.1、隨機獲取URL并在瀏覽器中打開
4.2、打開notepad,顯示提示消息 4.3、使鼠標失控 4.4、改變屏幕顯示 4.5、枚舉子窗口,窗口變形 4.6、播放聲音 4.7、插入鍵盤鼠標事件 4.8、使桌面變色 4.9 提示框消息 五、解決方案1、使用u盤進入PE系統(tǒng),重建MBR分區(qū),修復(fù)引導(dǎo) 2、不打開未知軟件和郵件 3、及時更新殺毒軟件 六、參考資料https://malware.wikia.org/zh/wiki/MEMZ http://www.pianshen.com/article/1636845701/ http://tieba.baidu.com/p/5731258395 七、免責申明本文章僅用于學(xué)習(xí)目的,任何利用此文章提供的信息造成的直接或間接后果及損失,均由使用者本人負責,中新網(wǎng)絡(luò)信息安全有限公司及本文作者不為此行為承擔任何責任。 |