社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 2757阅读
  • 2回复

[共享]详细分析彩虹猫(MEMZ)病毒

楼层直达
z3960 
级别: 茶馆馆主
发帖
770867
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8


样本信息 静态分析1.首先使用PEID和ExeInfo工具对样本进行查壳,以下是查壳结果 2.查看该病毒用了什么算法,发现调用CryptGenRandom函数。 3.用IDA打开,可以清晰得看到代码逻辑,因此该病毒无壳,从字符串窗口中可以看出该病毒在运行的过程中可能会出现的提示信息和信息帮助链接,使用的系统软件 4.查看导入表 在advapi32.dll中看到AdjustTokenPribileges、OpenProcessToken等api,说明病毒运行的时候升级了权限5.使用ResourceHacker查看发现该软件必须在管理员权限下运行 动态分析1.运行病毒,会弹出很多软件,并且浏览器软件会打开多个页面,桌面闪烁,弹出很多窗口,鼠标失控,桌面拉伸 2.运行到后面,电脑会蓝屏,重新开机会出现彩虹猫并发出声音,说明该病毒已覆盖了主引导扇区导致了系统不能正常启动 3.使用动态分析工具,可以看到病毒生成的子进程和执行的操作,从中可以看出该病毒对注册表进行了操作 4.桌面上出现desktop隐藏文件,打开发现使用了shell32.dll和imageres.dll 病毒分析start处分析1.可以看出函数的数量并不多,先大致看下程序逻辑:获取系统窗口宽度和高度,获取控制台参数,覆盖主引导扇区,创建10个恶意线程,显示提示信息,执行5次watchdog等 2.OD运行,窗口的宽度和高度分别为:0x5fe,0x2c6,控制台参数为病毒所在路径 消息对话框由于参数的个数没有大于1,接着弹出消息提示框,提示染上病毒信息 watchdog进程1.接着程序附加的参数为watchdog(第一次运行时)。 2.当以watchdog为参数运行程序时,执行了5次watchdog,并且遍历所有进程 3.此时已经内设置了消息 HOOK,每个窗口创建的位置都不同,最后使系统蓝屏 main程序1.随后病毒运行到main程序,附加参数为 main,当再次运行病毒程序时,这时已经运行了watchdog。 2.提升病毒进程的权限 覆盖主引导扇区1.当程序带着参数运行时,会事先覆盖完主引导扇区的512 个字节空间后,在OD中可以看到写入的恶意代码 2.程序分两次写入内存,并写入到PhysicalDrive0中 线程分析病毒运行时产生了很多线程,接下来分析每个线程,这些线程执行的操作都不同,但最后进入死循环中,抢占系统资源导致系统蓝屏奔溃。 线程一运行浏览器软件,随机打开网站浏览,运行任务管理器,注册表管理器等 线程二打开了记事本,显示提示信息 线程三鼠标位置失控,在上图中可以看到,鼠标位置会产生很多差图标,导致鼠标不能正常使用 线程四改变屏幕显示并且桌面上软件界面被复制 线程五弹出“still using this computer”提示信息 线程六界面大小改变,桌面变形 线程七病毒运行的过程中发出声音 线程八枚举子窗口,随对子窗口进行变形操作 线程九插入键盘事件,对键盘进行监控 线程十让桌面变色 解决方案1.不要打开不知名的下载软件和邮件附件2.如果系统还能运行,先用查杀软件查杀后,重建 MBR 引导程序3.如果系统不能运行, 通过启动U盘运行系统,打开分区软件,选择“搜索分区”,之后点击“保存更改”,恢复被彩虹猫吞掉的所有分区,再进行引导修复,重建MBR,重启就可以进入系统,全部文件无损坏、丢失,无需重装系统、更换硬盘等。
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
级别: 超级版主
发帖
830685
飞翔币
224558
威望
224618
飞扬币
2423840
信誉值
0

只看该作者 1 发表于: 2020-01-31
来看一下
级别: 超级版主
发帖
830685
飞翔币
224558
威望
224618
飞扬币
2423840
信誉值
0

只看该作者 2 发表于: 2020-01-31
不错,了解了