太阳成集团tyc539(中国)有限公司

漏洞分析|太阳集团tyc539安全实验室对MEMZ病毒分析报告

MEMZ是一种定制木马,它使用高度复杂且唯一的有效载荷连续激活,前几个有效载荷是无害的,最后一个有效载荷是您的PC完全无法使用,感染计算机后,病毒会显示一条消息,通知用户重启计算机后将无法使用,因为计算机的MBR分区会被MEMZ重写覆盖,如果你通过任务管理器对其关闭,你的计算机将当场蓝屏死机。



一、样本信息




blob.png





二、病毒影响




运行病毒,会弹出很多软件,并且浏览器软件会打开多个页面,桌面闪烁,弹出很多窗口,鼠标失控,桌面拉伸,运行到后面,电脑会蓝屏,效果如下:

blob.png

blob.png

三、病毒分析



1、行为分析

该病毒对注册表进行了操作:




1586997923990254.png



2、静态分析

IDA中打开该样本,打开导入表,红框内为病毒核心函数:



blob.png



通过分析得知,该病毒的主要逻辑:

1.获取系统窗口大小;

2.控制台参数;

3.创建线程;

4.提示消息;

5.覆盖引导扇区。

打开start函数



blob.png



分析start函数伪代码:

该函数主要功能为设置病毒窗口大小,并进行创建





PhysicalDriver0文件中应该储存的是恶意代码



blob.png




blob.png


病毒运行到main程序,输出提示信息



blob.png


 

病毒提权部分函数






3、OD动态分析
在静态分析中,得到的关键函数下断,运行程序
执行外部MEMZ程序,并启动watchdog

blob.png

blob.png



可以看到程序提示染上病毒



blob.png





blob.png



程序会开启很多线程






四、线程分析



4.1、随机获取URL并在浏览器中打开

 


blob.png




blob.png



4.2、打开notepad,显示提示消息



blob.png



4.3、使鼠标失控



blob.png



4.4、改变屏幕显示





4.5、枚举子窗口,窗口变形



blob.png




blob.png




blob.png



4.6、播放声音





4.7、插入键盘鼠标事件





4.8、使桌面变色



blob.png



4.9 提示框消息



blob.png




五、解决方案



1、使用u盘进入PE系统,重建MBR分区,修复引导

2、不打开未知软件和邮件

3、及时更新杀毒软件



六、参考资料



https://malware.wikia.org/zh/wiki/MEMZ

http://www.pianshen.com/article/1636845701/

http://tieba.baidu.com/p/5731258395



七、免责申明



本文章仅用于学习目的,任何利用此文章提供的信息造成的直接或间接后果及损失,均由使用者本人负责,中新网络信息安全有限公司及本文作者不为此行为承担任何责任。


Baidu
sogou