漏洞分析|中新網安安全實驗室對MEMZ病毒分析報告

MEMZ是一種定制木馬,它使用高度復雜且唯一的有效載荷連續激活,前幾個有效載荷是無害的,最后一個有效載荷是您的PC完全無法使用,感染計算機后,病毒會顯示一條消息,通知用戶重啟計算機后將無法使用,因為計算機的MBR分區會被MEMZ重寫覆蓋,如果你通過任務管理器對其關閉,你的計算機將當場藍屏死機。



一、樣本信息




blob.png





二、病毒影響




運行病毒,會彈出很多軟件,并且瀏覽器軟件會打開多個頁面,桌面閃爍,彈出很多窗口,鼠標失控,桌面拉伸,運行到后面,電腦會藍屏,效果如下:

blob.png

blob.png

三、病毒分析



1、行為分析

該病毒對注冊表進行了操作:




1586997923990254.png



2、靜態分析

IDA中打開該樣本,打開導入表,紅框內為病毒核心函數:



blob.png



通過分析得知,該病毒的主要邏輯:

1.獲取系統窗口大??;

2.控制臺參數;

3.創建線程;

4.提示消息;

5.覆蓋引導扇區。

打開start函數



blob.png



分析start函數偽代碼:

該函數主要功能為設置病毒窗口大小,并進行創建





PhysicalDriver0文件中應該儲存的是惡意代碼



blob.png




blob.png


病毒運行到main程序,輸出提示信息



blob.png


 

病毒提權部分函數






3、OD動態分析
在靜態分析中,得到的關鍵函數下斷,運行程序
執行外部MEMZ程序,并啟動watchdog

blob.png

blob.png



可以看到程序提示染上病毒



blob.png





blob.png



程序會開啟很多線程






四、線程分析



4.1、隨機獲取URL并在瀏覽器中打開

 


blob.png




blob.png



4.2、打開notepad,顯示提示消息



blob.png



4.3、使鼠標失控



blob.png



4.4、改變屏幕顯示





4.5、枚舉子窗口,窗口變形



blob.png




blob.png




blob.png



4.6、播放聲音





4.7、插入鍵盤鼠標事件





4.8、使桌面變色



blob.png



4.9 提示框消息



blob.png




五、解決方案



1、使用u盤進入PE系統,重建MBR分區,修復引導

2、不打開未知軟件和郵件

3、及時更新殺毒軟件



六、參考資料



https://malware.wikia.org/zh/wiki/MEMZ

http://www.pianshen.com/article/1636845701/

http://tieba.baidu.com/p/5731258395



七、免責申明



本文章僅用于學習目的,任何利用此文章提供的信息造成的直接或間接后果及損失,均由使用者本人負責,中新網絡信息安全有限公司及本文作者不為此行為承擔任何責任。


最火的棋牌游戏排行榜 浙江6+1中奖规则 pk10计划在线 广西体彩十一选五最大遗漏 足彩胜负彩玩法介绍 浙江体彩6 1历史号码查询 体彩七位数怎样找技巧 吉林省11选5开奖走势 十一选五复式投注表 辽宁福采35选7开奖 杭州股票融资