内容标题23

  • <tr id='jAAz1n'><strong id='jAAz1n'></strong><small id='jAAz1n'></small><button id='jAAz1n'></button><li id='jAAz1n'><noscript id='jAAz1n'><big id='jAAz1n'></big><dt id='jAAz1n'></dt></noscript></li></tr><ol id='jAAz1n'><option id='jAAz1n'><table id='jAAz1n'><blockquote id='jAAz1n'><tbody id='jAAz1n'></tbody></blockquote></table></option></ol><u id='jAAz1n'></u><kbd id='jAAz1n'><kbd id='jAAz1n'></kbd></kbd>

    <code id='jAAz1n'><strong id='jAAz1n'></strong></code>

    <fieldset id='jAAz1n'></fieldset>
          <span id='jAAz1n'></span>

              <ins id='jAAz1n'></ins>
              <acronym id='jAAz1n'><em id='jAAz1n'></em><td id='jAAz1n'><div id='jAAz1n'></div></td></acronym><address id='jAAz1n'><big id='jAAz1n'><big id='jAAz1n'></big><legend id='jAAz1n'></legend></big></address>

              <i id='jAAz1n'><div id='jAAz1n'><ins id='jAAz1n'></ins></div></i>
              <i id='jAAz1n'></i>
            1. <dl id='jAAz1n'></dl>
              1. <blockquote id='jAAz1n'><q id='jAAz1n'><noscript id='jAAz1n'></noscript><dt id='jAAz1n'></dt></q></blockquote><noframes id='jAAz1n'><i id='jAAz1n'></i>
                漏洞分析|中新网安安全实验室↓对MEMZ病毒分析报告

                MEMZ是一种定制木马,它使用高度复杂且唯一的有效载荷连续激活,前几个¤有效载荷是无害的,最后一ω 个有效载荷是您的PC完全无法使用,感染◣计算机后,病毒会显示一条消息,通知用户重启计算机后将无法使用,因为计算机※的MBR分区会被MEMZ重写覆盖,如果你通过任务管理器对其关闭,你的计≡算机将当场蓝屏死机。



                一、样本信息




                blob.png





                二、病毒影响




                运行病毒,会弹出很多软件,并且浏览器软件会打开多个页面,桌面闪烁,弹出很多窗▼口,鼠标失控,桌面拉伸,运▲行到后面,电脑会蓝屏,效果如下:

                blob.png

                blob.png

                三、病毒分析



                1、行为分析

                该病毒对注〖册表进行了操作:




                1586997923990254.png



                2、静态分析

                IDA中打开该样●本,打开导入表,红框内为病毒核心函数:



                blob.png



                通过】分析得知,该病毒的主要逻辑:

                1.获取系统〒窗口大小;

                2.控○制台参数;

                3.创建线程;

                4.提示消息;

                5.覆↓盖引导扇区。

                打开start函数



                blob.png



                分析start函数伪ξ 代码:

                该函数主要功能为设置病毒窗口大小,并进行创〗建





                PhysicalDriver0文件中应该储存的是恶意代码



                blob.png




                blob.png


                病◆毒运行到main程序,输出提示信息



                blob.png


                 

                病毒提权部分函数






                3、OD动态分析
                在静态分析中,得到的关键函数下断,运行程序
                执行外部MEMZ程序,并启动watchdog

                blob.png

                blob.png



                可以看到程序提示染上病毒



                blob.png





                blob.png



                程序会开启很》多线程






                四、线程分析



                4.1、随机获取URL并在浏览器中打开

                 


                blob.png




                blob.png



                4.2、打开notepad,显示提示消息



                blob.png



                4.3、使鼠标失控ㄨ



                blob.png



                4.4、改变屏≡幕显示





                4.5、枚举▃子窗口,窗口变形



                blob.png




                blob.png




                blob.png



                4.6、播放声音





                4.7、插肯定是自己入键盘鼠标事件





                4.8、使桌面变色



                blob.png



                4.9 提示╱框消息



                blob.png




                五、解决方案



                1、使用u盘进入PE系统,重建MBR分区,修复引导

                2、不打开未∞知软件和邮件

                3、及时更新杀◎毒软件



                六、参考资料



                https://malware.wikia.org/zh/wiki/MEMZ

                http://www.pianshen.com/article/1636845701/

                http://tieba.baidu.com/p/5731258395



                七、免责申明



                本文章仅用于学习目的,任何利用此文章提供的信息造成的直接或间接后果及损失,均由使用者本人负责,中新网络信息安全有限公司及『本文作者不为此行为承担任何责◇任。