MEMZ是一種定制木馬,它使用高度復(fù)雜且唯一的有效載荷連續(xù)激活,前幾個(gè)有效載荷是無(wú)害的,最后一個(gè)有效載荷是您的PC完全無(wú)法使用,感染計(jì)算機(jī)后,病毒會(huì)顯示一條消息,通知用戶重啟計(jì)算機(jī)后將無(wú)法使用,因?yàn)橛?jì)算機(jī)的MBR分區(qū)會(huì)被MEMZ重寫覆蓋,如果你通過(guò)任務(wù)管理器對(duì)其關(guān)閉,你的計(jì)算機(jī)將當(dāng)場(chǎng)藍(lán)屏死機(jī)。
一、樣本信息二、病毒影響三、病毒分析1、行為分析 該病毒對(duì)注冊(cè)表進(jìn)行了操作: 2、靜態(tài)分析 IDA中打開(kāi)該樣本,打開(kāi)導(dǎo)入表,紅框內(nèi)為病毒核心函數(shù): 通過(guò)分析得知,該病毒的主要邏輯: 1.獲取系統(tǒng)窗口大小; 2.控制臺(tái)參數(shù); 3.創(chuàng)建線程; 4.提示消息; 5.覆蓋引導(dǎo)扇區(qū)。 打開(kāi)start函數(shù) 分析start函數(shù)偽代碼: 該函數(shù)主要功能為設(shè)置病毒窗口大小,并進(jìn)行創(chuàng)建 PhysicalDriver0文件中應(yīng)該儲(chǔ)存的是惡意代碼 病毒運(yùn)行到main程序,輸出提示信息
病毒提權(quán)部分函數(shù) 可以看到程序提示染上病毒 程序會(huì)開(kāi)啟很多線程 四、線程分析4.1、隨機(jī)獲取URL并在瀏覽器中打開(kāi)
4.2、打開(kāi)notepad,顯示提示消息 4.3、使鼠標(biāo)失控 4.4、改變屏幕顯示 4.5、枚舉子窗口,窗口變形 4.6、播放聲音 4.7、插入鍵盤鼠標(biāo)事件 4.8、使桌面變色 4.9 提示框消息 五、解決方案1、使用u盤進(jìn)入PE系統(tǒng),重建MBR分區(qū),修復(fù)引導(dǎo) 2、不打開(kāi)未知軟件和郵件 3、及時(shí)更新殺毒軟件 六、參考資料https://malware.wikia.org/zh/wiki/MEMZ http://www.pianshen.com/article/1636845701/ http://tieba.baidu.com/p/5731258395 七、免責(zé)申明本文章僅用于學(xué)習(xí)目的,任何利用此文章提供的信息造成的直接或間接后果及損失,均由使用者本人負(fù)責(zé),中新網(wǎng)絡(luò)信息安全有限公司及本文作者不為此行為承擔(dān)任何責(zé)任。 |