MEMZ是一种定制木马,它使用高度复杂且唯一的有效载荷连续激活,前几个¤有效载荷是无害的,最后一ω 个有效载荷是您的PC完全无法使用,感染◣计算机后,病毒会显示一条消息,通知用户重启计算机后将无法使用,因为计算机※的MBR分区会被MEMZ重写覆盖,如果你通过任务管理器对其关闭,你的计≡算机将当场蓝屏死机。

漏洞分析|中新网安安全实验室↓对MEMZ病毒分析报告
一、样本信息![]() 二、病毒影响![]() ![]() 三、病毒分析1、行为分析 该病毒对注〖册表进行了操作: ![]() 2、静态分析 IDA中打开该样●本,打开导入表,红框内为病毒核心函数: ![]() 通过】分析得知,该病毒的主要逻辑: 1.获取系统〒窗口大小; 2.控○制台参数; 3.创建线程; 4.提示消息; 5.覆↓盖引导扇区。 打开start函数 ![]() 分析start函数伪ξ 代码: 该函数主要功能为设置病毒窗口大小,并进行创〗建 PhysicalDriver0文件中应该储存的是恶意代码 ![]() ![]() 病◆毒运行到main程序,输出提示信息 ![]()
病毒提权部分函数 ![]() ![]() 可以看到程序提示染上病毒 ![]() ![]() 程序会开启很》多线程 四、线程分析4.1、随机获取URL并在浏览器中打开
![]() ![]() 4.2、打开notepad,显示提示消息 ![]() 4.3、使鼠标失控ㄨ ![]() 4.4、改变屏≡幕显示 4.5、枚举▃子窗口,窗口变形 ![]() ![]() ![]() 4.6、播放声音 4.7、插肯定是自己入键盘鼠标事件 4.8、使桌面变色 ![]() 4.9 提示╱框消息 ![]() 五、解决方案1、使用u盘进入PE系统,重建MBR分区,修复引导 2、不打开未∞知软件和邮件 3、及时更新杀◎毒软件 六、参考资料https://malware.wikia.org/zh/wiki/MEMZ http://www.pianshen.com/article/1636845701/ http://tieba.baidu.com/p/5731258395 七、免责申明本文章仅用于学习目的,任何利用此文章提供的信息造成的直接或间接后果及损失,均由使用者本人负责,中新网络信息安全有限公司及『本文作者不为此行为承担任何责◇任。 |