漏洞分析｜中新網安安全實驗室對MEMZ病毒分析報告

MEMZ是一種定制木馬，它使(shi)用高度復雜且唯一的有(you)效載荷連續(xu)激活，前(qian)幾個有(you)效載荷是無(wu)(wu)(wu)害的，最后一個有(you)效載荷是您的PC完全無(wu)(wu)(wu)法使(shi)用，感染計算機后，病毒會顯示一條消息(xi)，通知用戶(hu)重啟計算機后將無(wu)(wu)(wu)法使(shi)用，因為計算機的MBR分區會被MEMZ重寫覆蓋(gai)，如(ru)果(guo)你(ni)通過任務管理器(qi)對(dui)其關閉(bi)，你(ni)的計算機將當場藍屏(ping)死(si)機。

一、樣本信息(xi)

二、病毒影響

運(yun)(yun)行病毒，會彈(dan)出很多軟(ruan)件，并且瀏覽(lan)器(qi)軟(ruan)件會打開(kai)多個頁面(mian)，桌面(mian)閃爍(shuo)，彈(dan)出很多窗口，鼠(shu)標失控，桌面(mian)拉(la)伸，運(yun)(yun)行到后(hou)面(mian)，電腦會藍屏(ping),效果(guo)如(ru)下：

三、病毒分析

1、行(xing)為分析

該病毒(du)對注冊表進行了操作：

2、靜態分析

IDA中打開該樣本(ben)，打開導入表，紅框內為病毒(du)核心(xin)函(han)數：

通過分析(xi)得知(zhi)，該病(bing)毒的(de)主要邏輯(ji)：

1.獲(huo)取系統(tong)窗口大小(xiao)；

2.控制臺(tai)參數；

3.創建線程(cheng)；

4.提示消息；

5.覆蓋引導扇區。

打開start函數(shu)

分析start函數偽代碼：

該函數主要功(gong)能為設置病(bing)毒窗口(kou)大小，并進行創(chuang)建

PhysicalDriver0文件(jian)中應該(gai)儲存的是惡意代碼

病(bing)毒(du)運行到main程序，輸出提示(shi)信息

病(bing)毒提權部分(fen)函數

3、OD動態分析(xi)

在(zai)靜態分析中，得到的關鍵函數下斷，運行程序

執行(xing)外(wai)部MEMZ程序，并啟動watchdog

可以看(kan)到程序提示染上(shang)病毒(du)

程序會開啟很(hen)多線程

四、線(xian)程分(fen)析

4.1、隨機(ji)獲取URL并在瀏覽器(qi)中(zhong)打開

4.2、打開notepad，顯示(shi)(shi)提示(shi)(shi)消息

4.3、使鼠(shu)標失(shi)控

4.4、改變屏幕顯(xian)示

4.5、枚舉(ju)子窗口，窗口變形

4.6、播放聲音

4.7、插入(ru)鍵盤鼠標(biao)事件

4.8、使桌面變色

4.9 提示框消(xiao)息

五、解決方案

1、使用u盤進入(ru)PE系(xi)統，重建MBR分區，修復(fu)引導(dao)

2、不(bu)打開未知軟件(jian)和郵件(jian)

3、及時更新(xin)殺毒軟(ruan)件

六、參考資料

//malware.wikia.org/zh/wiki/MEMZ

//www.pianshen.com/article/1636845701/

//tieba.baidu.com/p/5731258395

七、免責申(shen)明(ming)

本(ben)文(wen)章僅用于(yu)學習目的(de)(de)，任(ren)何(he)利用此文(wen)章提(ti)供的(de)(de)信息造成的(de)(de)直接或間接后(hou)果(guo)及損失(shi)，均由(you)使(shi)用者本(ben)人負責(ze)(ze)，中新網(wang)絡信息安(an)全有限公司(si)及本(ben)文(wen)作者不為此行(xing)為承擔任(ren)何(he)責(ze)(ze)任(ren)。

亚洲AV无码乱码国产精品9,欧美理仑片色情斯巴达克斯,疯狂试爱免费视频观看,蜜臀色欲AV无人A片一区,亚洲少妇一级黄色片

安全服務

通用網絡安全產品

專業網絡攻擊防護安全產品

重要關鍵基礎設施

重要信息系統

重要公共服務

安全報告

研究機構

服務中心

關于我們