<DIV id=aimg_169917_menu initialized="true" cache="1" fade="false" cover="0" layer="1" mtype="menu" ctrlkey="aimg_169917" disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (36.68 KB) 基本信息
报告名称:卡饭MBR样本分析
作者:willJ
样本类型:MBR感染
样本文件大小:36864 字节 ( 36.000 KB,0.035 MB )
样本MD5:955b66c722ca993dd11fbe56bbf92525
壳信息:无壳
简介
该样本是一个修改MBR的玩笑病毒。
被感染的系统症状
感染该样本后,重启电脑电脑将无法正常启动,只会显示一窜字符串。
文件系统变化
修改MBR
注册表变化
无
网络症状
无
详细分析/功能介绍
1.利用OpenProcessToken,LookupPrivilegeValueA,AdjustTokenPrivileges提升自身权限,为后面对MBR操作做准备。
<DIV id=aimg_169918_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (90.6 KB) 2.打开MBR所在的物理驱动器。
<DIV id=aimg_169919_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (40.39 KB) 3.向MBR写入0x200数据(512字节)
<DIV id=aimg_169906_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (29.64 KB) 写入的数据为,现在应该可以猜测等会儿出现的效果了,屏幕显示I am virus! Fuck you :-)。
<DIV id=aimg_169907_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (64.1 KB) 利用Winhex提取出感染后的MBR
1.工具-打开磁盘
<DIV id=aimg_169908_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (36.66 KB) 2.选择物理磁盘
<DIV id=aimg_169909_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (33.35 KB) 3.选择前512字节,右键-选择-复制选块-置入新文件
<DIV id=aimg_169910_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (225.67 KB) 重启后的效果
<DIV id=aimg_169911_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (31.82 KB) 分析感染后的MBR
1.载入
IDA,选择loading offset为0x7c00,因为BIOS将MBR就读取到内存的0x7c00处执行
<DIV id=aimg_169912_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (58.55 KB) 2.ALT+S选择16位的方式分析
<DIV id=aimg_169913_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (30.36 KB) 3.利用快捷键A和C调整代码,调整后下图,核心功能就是利用int 10h中断显示字符串。
<DIV id=aimg_169914_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (80.79 KB)
预防和修复
预防
最好备份一份自己的原始MBR,以便MBR遭到摧毁时候可以方便的恢复。
修复
利用WIN PE进入系统,开始-程序-磁盘
光盘工具-PTDD磁盘分区表医生
<DIV id=aimg_169915_menu disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (114.14 KB) 选择自动重建分区表,可以发现已经可以识别磁盘分区了,重启下就可以正常进入系统了
<DIV id=aimg_169916_menu initialized="true" cache="1" fade="false" cover="0" layer="1" mtype="menu" ctrlkey="aimg_169916" disautofocus="true" aimg_tip? tip_4><DIV xs0?>
2013-3-14 20:27 上传
下载附件 (64.97 KB) 总结这个帖子应该是一个标题党,但是此样本确实具备比较大的破坏力,如果用户不小心运行了那就悲剧了,修复也比较麻烦,修复得不好可能数据就没有了,大家没事可以备份下自己带你你的MBR,以便MBR遭到摧毁的时候可以恢复。
根据这个程序
逆向的代码以及显示很像Ghost代码里扣出来的,功能单一,破坏力巨大。
