欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

U盘复制更改MBR勒索木马病毒研究

来源:本站整理 作者:佚名 时间:2017-09-08 TAG: 我要投稿

一、概述
该木马伪装成失常的软件,只要在用户加入软件的时刻才会挪用歹意代码,将歹意领导代码和原始的MBR和加密后的硬盘分区表DPT从新写入硬盘。木马文件并无加密电脑中的其余数据文档,在体系重启的时刻提醒打单信息,而且请求输出暗码,暗码有效则无奈进入体系。详细流程如图所示

图1-1 打单木马运转流程图
二、样本起源
样本来自某下载网站,从更新光阴来看,是近来宣布的。

图2-1 打单木马软件下载站
三、木马阐发
主法式运转以后没有界面,必要热键激活,激活以后界面以下:

图3-1木马主法式运转界面
该法式的重要歹意行动在用户点击加入按钮的时刻激活。经由过程挪用CreateFileA关上主硬盘,挪用ReadFile读入第0扇区原始数据。

图3-2 木马读入MBR代码

图3-3读入MBR原始数据
接着法式会在内存中经由过程XMM寄存器,对读入MBR的硬盘分区表停止异或(0x54)加密,详细以下:

图3-4 硬盘分区表加密前

图3-5硬盘分区表加密后
接着法式会挪用CreateFileA关上主硬盘,挪用WriteFile将歹意代码和加密过的硬盘分区表写到0扇区和2扇区,能够看到增加了打单提醒信息。

图3-6写入MBR的歹意代码。
重启体系后表现了打单提醒,提醒的QQ号现实并不存在,无奈接洽到打单作者。

图3-7重启体系开机进入打单提醒
经由过程静态阐发打单木马改动的MBR,能够找到木马暗码的验证逻辑以下:

图3-8开机输出暗码以回车键停止

图3-9断定开端数据能否WWe

图3-10 将输出的数据作为分区表的解密秘钥
输出数据的前三个字母是“WWe”,解密的密钥是“T”,咱们在XP体系中输出一组暗码“WWeTTTTTTTTT”后胜利进入了体系。必要阐明的是秘钥“T”的个数依据分歧的情况数目能够分歧。
四、杀毒的查杀
360杀毒已第一光阴查杀该木马,对付打单木马“防”重于“治”,请宽大用户不要随意马虎相信未知起源的软件。

图4-1   360查杀国产新型打单木马

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载