"

500万彩票官方网站-500万彩票官方登入-500万彩票官方网站拥有全球最顶尖的原生APP,每天为您提供千场精彩体育赛事,500万彩票官方网站-500万彩票官方登入-500万彩票官方网站更有真人、彩票、电子老虎机、真人电子竞技游戏等多种娱乐方式选择,500万彩票官方网站-500万彩票官方登入-500万彩票官方网站让您尽享娱乐、赛事投注等,且无后顾之忧!

<object id="guskc"></object>
<object id="guskc"></object>
<object id="guskc"><noscript id="guskc"></noscript></object>
<object id="guskc"></object>
<tt id="guskc"></tt>
<object id="guskc"></object>
<object id="guskc"><div id="guskc"></div></object>
<tt id="guskc"><rt id="guskc"></rt></tt>
"
漏洞分析|中新网安安全实验室对MEMZ病毒分析报告

MEMZ是一种定制木马500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,它使用高度复杂且唯一的有效载荷连续激活,前几个有效载荷是无害的,最后一个有效载荷是您的PC完全无法使用,感染计算机后,病毒会显示一条消息,通知用户重启计算机后将无法使用500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,因为计算机的MBR分区会被MEMZ重写覆盖,如果你通过任务管理器对其关闭500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,你的计算机将当场蓝屏死机。



一、样本信息




blob.png





二500万彩票官方网站-500万彩票官方登入-500万彩票官方网站、病毒影响




运行病毒,会弹出很多软件,并且浏览器软件会打开多个页面,桌面闪烁,弹出很多窗口500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,鼠标失控,桌面拉伸,运行到后面,电脑会蓝屏,效果如下:

blob.png

blob.png

三、病毒分析



1、行为分析

该病毒对注册表进行了操作:




1586997923990254.png



2、静态分析

IDA中打开该样本,打开导入表,红框内为病毒核心函数:



blob.png



通过分析得知500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,该病毒的主要逻辑:

1.获取系统窗口大??500万彩票官方网站-500万彩票官方登入-500万彩票官方网站;

2.控制台参数;

3.创建线程;

4.提示消息;

5.覆盖引导扇区500万彩票官方网站-500万彩票官方登入-500万彩票官方网站。

打开start函数



blob.png



分析start函数伪代码:

该函数主要功能为设置病毒窗口大小,并进行创建





PhysicalDriver0文件中应该储存的是恶意代码



blob.png




blob.png


病毒运行到main程序500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,输出提示信息



blob.png


 

病毒提权部分函数






3、OD动态分析
在静态分析中,得到的关键函数下断,运行程序
执行外部MEMZ程序500万彩票官方网站-500万彩票官方登入-500万彩票官方网站,并启动watchdog

blob.png

blob.png



可以看到程序提示染上病毒



blob.png





blob.png



程序会开启很多线程






四、线程分析



4.1、随机获取URL并在浏览器中打开

 


blob.png




blob.png



4.2、打开notepad,显示提示消息



blob.png



4.3、使鼠标失控



blob.png



4.4、改变屏幕显示





4.5500万彩票官方网站-500万彩票官方登入-500万彩票官方网站、枚举子窗口,窗口变形



blob.png




blob.png




blob.png



4.6、播放声音





4.7、插入键盘鼠标事件





4.8、使桌面变色



blob.png



4.9 提示框消息



blob.png




五500万彩票官方网站-500万彩票官方登入-500万彩票官方网站、解决方案



1500万彩票官方网站-500万彩票官方登入-500万彩票官方网站、使用u盘进入PE系统,重建MBR分区,修复引导

2、不打开未知软件和邮件

3500万彩票官方网站-500万彩票官方登入-500万彩票官方网站、及时更新杀毒软件



六、参考资料



https://malware.wikia.org/zh/wiki/MEMZ

http://www.pianshen.com/article/1636845701/

http://tieba.baidu.com/p/5731258395



七500万彩票官方网站-500万彩票官方登入-500万彩票官方网站、免责申明



本文章仅用于学习目的,任何利用此文章提供的信息造成的直接或间接后果及损失,均由使用者本人负责,中新网络信息安全有限公司及本文作者不为此行为承担任何责任。


500万彩票官方网站-500万彩票官方登入-500万彩票官方网站
<object id="guskc"></object>
<object id="guskc"></object>
<object id="guskc"><noscript id="guskc"></noscript></object>
<object id="guskc"></object>
<tt id="guskc"></tt>
<object id="guskc"></object>
<object id="guskc"><div id="guskc"></div></object>
<tt id="guskc"><rt id="guskc"></rt></tt>