免费人成网站免费看视频,国产免费踩踏调教视频,亚洲中文有码字幕日本,亚洲国产成人久久综合下载

漏洞分析|中新網(wǎng)安安全實(shí)驗(yàn)室對(duì)MEMZ病毒分析報(bào)告

MEMZ是一種定制木馬,它使用高度復(fù)雜且唯一的有效載荷連續(xù)激活,前幾個(gè)有效載荷是無(wú)害的,最后一個(gè)有效載荷是您的PC完全無(wú)法使用,感染計(jì)算機(jī)后,病毒會(huì)顯示一條消息,通知用戶重啟計(jì)算機(jī)后將無(wú)法使用,因?yàn)橛?jì)算機(jī)的MBR分區(qū)會(huì)被MEMZ重寫覆蓋,如果你通過任務(wù)管理器對(duì)其關(guān)閉,你的計(jì)算機(jī)將當(dāng)場(chǎng)藍(lán)屏死機(jī)。



一、樣本信息




blob.png





二、病毒影響




運(yùn)行病毒,會(huì)彈出很多軟件,并且瀏覽器軟件會(huì)打開多個(gè)頁(yè)面,桌面閃爍,彈出很多窗口,鼠標(biāo)失控,桌面拉伸,運(yùn)行到后面,電腦會(huì)藍(lán)屏,效果如下:

blob.png

blob.png

三、病毒分析



1、行為分析

該病毒對(duì)注冊(cè)表進(jìn)行了操作:




1586997923990254.png



2、靜態(tài)分析

IDA中打開該樣本,打開導(dǎo)入表,紅框內(nèi)為病毒核心函數(shù):



blob.png



通過分析得知,該病毒的主要邏輯:

1.獲取系統(tǒng)窗口大??;

2.控制臺(tái)參數(shù);

3.創(chuàng)建線程;

4.提示消息;

5.覆蓋引導(dǎo)扇區(qū)。

打開start函數(shù)



blob.png



分析start函數(shù)偽代碼:

該函數(shù)主要功能為設(shè)置病毒窗口大小,并進(jìn)行創(chuàng)建





PhysicalDriver0文件中應(yīng)該儲(chǔ)存的是惡意代碼



blob.png




blob.png


病毒運(yùn)行到main程序,輸出提示信息



blob.png


 

病毒提權(quán)部分函數(shù)






3、OD動(dòng)態(tài)分析
在靜態(tài)分析中,得到的關(guān)鍵函數(shù)下斷,運(yùn)行程序
執(zhí)行外部MEMZ程序,并啟動(dòng)watchdog

blob.png

blob.png



可以看到程序提示染上病毒



blob.png





blob.png



程序會(huì)開啟很多線程






四、線程分析



4.1、隨機(jī)獲取URL并在瀏覽器中打開

 


blob.png




blob.png



4.2、打開notepad,顯示提示消息



blob.png



4.3、使鼠標(biāo)失控



blob.png



4.4、改變屏幕顯示





4.5、枚舉子窗口,窗口變形



blob.png




blob.png




blob.png



4.6、播放聲音





4.7、插入鍵盤鼠標(biāo)事件





4.8、使桌面變色



blob.png



4.9 提示框消息



blob.png




五、解決方案



1、使用u盤進(jìn)入PE系統(tǒng),重建MBR分區(qū),修復(fù)引導(dǎo)

2、不打開未知軟件和郵件

3、及時(shí)更新殺毒軟件



六、參考資料



https://malware.wikia.org/zh/wiki/MEMZ

http://www.pianshen.com/article/1636845701/

http://tieba.baidu.com/p/5731258395



七、免責(zé)申明



本文章僅用于學(xué)習(xí)目的,任何利用此文章提供的信息造成的直接或間接后果及損失,均由使用者本人負(fù)責(zé),中新網(wǎng)絡(luò)信息安全有限公司及本文作者不為此行為承擔(dān)任何責(zé)任。


金川县| 改则县| 华宁县| 贵州省| 庆云县| 芦溪县| 永昌县| 丰镇市| 绥德县| 大丰市| 临海市| 雷山县| 萝北县| 凉城县|