免费人成网站免费看视频,国产免费踩踏调教视频,亚洲中文有码字幕日本,亚洲国产成人久久综合下载

漏洞分析|中新網(wǎng)安安全實驗室對MEMZ病毒分析報告

MEMZ是一種定制木馬,它使用高度復(fù)雜且唯一的有效載荷連續(xù)激活,前幾個有效載荷是無害的,最后一個有效載荷是您的PC完全無法使用,感染計算機后,病毒會顯示一條消息,通知用戶重啟計算機后將無法使用,因為計算機的MBR分區(qū)會被MEMZ重寫覆蓋,如果你通過任務(wù)管理器對其關(guān)閉,你的計算機將當場藍屏死機。



一、樣本信息




blob.png





二、病毒影響




運行病毒,會彈出很多軟件,并且瀏覽器軟件會打開多個頁面,桌面閃爍,彈出很多窗口,鼠標失控,桌面拉伸,運行到后面,電腦會藍屏,效果如下:

blob.png

blob.png

三、病毒分析



1、行為分析

該病毒對注冊表進行了操作:




1586997923990254.png



2、靜態(tài)分析

IDA中打開該樣本,打開導(dǎo)入表,紅框內(nèi)為病毒核心函數(shù):



blob.png



通過分析得知,該病毒的主要邏輯:

1.獲取系統(tǒng)窗口大小;

2.控制臺參數(shù);

3.創(chuàng)建線程;

4.提示消息;

5.覆蓋引導(dǎo)扇區(qū)。

打開start函數(shù)



blob.png



分析start函數(shù)偽代碼:

該函數(shù)主要功能為設(shè)置病毒窗口大小,并進行創(chuàng)建





PhysicalDriver0文件中應(yīng)該儲存的是惡意代碼



blob.png




blob.png


病毒運行到main程序,輸出提示信息



blob.png


 

病毒提權(quán)部分函數(shù)






3、OD動態(tài)分析
在靜態(tài)分析中,得到的關(guān)鍵函數(shù)下斷,運行程序
執(zhí)行外部MEMZ程序,并啟動watchdog

blob.png

blob.png



可以看到程序提示染上病毒



blob.png





blob.png



程序會開啟很多線程






四、線程分析



4.1、隨機獲取URL并在瀏覽器中打開

 


blob.png




blob.png



4.2、打開notepad,顯示提示消息



blob.png



4.3、使鼠標失控



blob.png



4.4、改變屏幕顯示





4.5、枚舉子窗口,窗口變形



blob.png




blob.png




blob.png



4.6、播放聲音





4.7、插入鍵盤鼠標事件





4.8、使桌面變色



blob.png



4.9 提示框消息



blob.png




五、解決方案



1、使用u盤進入PE系統(tǒng),重建MBR分區(qū),修復(fù)引導(dǎo)

2、不打開未知軟件和郵件

3、及時更新殺毒軟件



六、參考資料



https://malware.wikia.org/zh/wiki/MEMZ

http://www.pianshen.com/article/1636845701/

http://tieba.baidu.com/p/5731258395



七、免責申明



本文章僅用于學(xué)習(xí)目的,任何利用此文章提供的信息造成的直接或間接后果及損失,均由使用者本人負責,中新網(wǎng)絡(luò)信息安全有限公司及本文作者不為此行為承擔任何責任。


宁夏| 江川县| 阿荣旗| 科技| 翼城县| 兰州市| 腾冲县| 诸暨市| 赞皇县| 德兴市| 西贡区| 苏尼特左旗| 康马县| 嘉荫县|