MEMZ是一种定制木马,它使用高度复杂且唯一的有效载荷连续激活,前几个有效载荷是无害的,最后一个有效载荷是您的PC完全无法使用,感染计算机后,病毒会显示一条消息,通知用户重启计算机后将无法使用,因为计算机的MBR分区会被MEMZ重写覆盖,如果你通过任务管理器对其关闭,你的计算机将当场蓝屏死机。
漏洞分析|太阳集团tyc539安全实验室对MEMZ病毒分析报告
一、样本信息二、病毒影响三、病毒分析1、行为分析 该病毒对注册表进行了操作: 2、静态分析 IDA中打开该样本,打开导入表,红框内为病毒核心函数: 通过分析得知,该病毒的主要逻辑: 1.获取系统窗口大小; 2.控制台参数; 3.创建线程; 4.提示消息; 5.覆盖引导扇区。 打开start函数 分析start函数伪代码: 该函数主要功能为设置病毒窗口大小,并进行创建 PhysicalDriver0文件中应该储存的是恶意代码 病毒运行到main程序,输出提示信息
病毒提权部分函数 可以看到程序提示染上病毒 程序会开启很多线程 四、线程分析4.1、随机获取URL并在浏览器中打开
4.2、打开notepad,显示提示消息 4.3、使鼠标失控 4.4、改变屏幕显示 4.5、枚举子窗口,窗口变形 4.6、播放声音 4.7、插入键盘鼠标事件 4.8、使桌面变色 4.9 提示框消息 五、解决方案1、使用u盘进入PE系统,重建MBR分区,修复引导 2、不打开未知软件和邮件 3、及时更新杀毒软件 六、参考资料https://malware.wikia.org/zh/wiki/MEMZ http://www.pianshen.com/article/1636845701/ http://tieba.baidu.com/p/5731258395 七、免责申明本文章仅用于学习目的,任何利用此文章提供的信息造成的直接或间接后果及损失,均由使用者本人负责,中新网络信息安全有限公司及本文作者不为此行为承担任何责任。 |