频道栏目
首页 > 安全 > 网络安全 > 正文

U盘复制更改MBR勒索木马病毒研究

2017-09-11 09:32:14      个评论      
收藏   我要投稿

一、概述

该木马伪装成失常的软件,只要在用户加入软件的时刻才会挪用歹意代码,将歹意领导代码和原始的MBR和加密后的硬盘分区表DPT从新写入硬盘。木马文件并无加密电脑中的其余数据文档,在体系重启的时刻提醒打单信息,而且请求输出暗码,暗码有效则无奈进入体系。详细流程如图所示

\

图1-1 打单木马运转流程图

二、样本起源

样本来自某下载网站,从更新光阴来看,是近来宣布的。

\

图2-1 打单木马软件下载站

三、木马阐发

主法式运转以后没有界面,必要热键激活,激活以后界面以下:

\

图3-1木马主法式运转界面

该法式的重要歹意行动在用户点击加入按钮的时刻激活。经由过程挪用CreateFileA关上主硬盘,挪用ReadFile读入第0扇区原始数据。

\

图3-2 木马读入MBR代码

\

图3-3读入MBR原始数据

接着法式会在内存中经由过程XMM寄存器,对读入MBR的硬盘分区表停止异或(0x54)加密,详细以下:

\

图3-4 硬盘分区表加密前

\

图3-5硬盘分区表加密后

接着法式会挪用CreateFileA关上主硬盘,挪用WriteFile将歹意代码和加密过的硬盘分区表写到0扇区和2扇区,能够看到增加了打单提醒信息。

\

图3-6写入MBR的歹意代码。

重启体系后表现了打单提醒,提醒的QQ号现实并不存在,无奈接洽到打单作者。

\

图3-7重启体系开机进入打单提醒

经由过程静态阐发打单木马改动的MBR,能够找到木马暗码的验证逻辑以下:

\

图3-8开机输出暗码以回车键停止

\

图3-9断定开端数据能否WWe

\

图3-10 将输出的数据作为分区表的解密秘钥

输出数据的前三个字母是“WWe”,解密的密钥是“T”,咱们在XP体系中输出一组暗码“WWeTTTTTTTTT”后胜利进入了体系。必要阐明的是秘钥“T”的个数依据分歧的情况数目能够分歧。

四、杀毒的查杀

360杀毒已第一光阴查杀该木马,对付打单木马“防”重于“治”,请宽大用户不要随意马虎相信未知起源的软件。

\

图4-1 360查杀国产新型打单木马

上一篇:大数据的当今怎样做好隐私的保护问题研究专题
下一篇:居然破坏ARK攻击杀毒软件,HTTPS劫持病毒木马恐怖升级
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训

版权所有: 红黑联盟--致力于做实用的IT技术学习网站