官方分析|登陆安安全实验室对MEMZ病毒分析报告

MEMZ是一种定制木马,它使用高度复杂且唯一的有效载荷连续激活,前几个有效载荷是无害的,最后一个有效载荷是您的PC完全无法使用,感染计算机后,病毒会显示一条消息,通知用户重启计算机后将无法使用,因为计算机的MBR分区会被MEMZ重写覆盖,如果你通过任务管理器对其关闭,你的计算机将当场蓝屏死机。



一、样本信息




blob.png





二、病毒影响




运行病毒,会弹出很多软件,并且浏览器软件会打开多个页面,桌面闪烁,弹出很多窗口,鼠标失控,桌面拉伸,运行到后面,电脑会蓝屏,效果如下:

blob.png

blob.png

三、病毒分析



1、行为分析

该病毒对注册表进行了操作:




1586997923990254.png



2、静态分析

IDA中打开该样本,打开导入表,红框内为病毒核心函数:



blob.png



通过分析得知,该病毒的主要逻辑:

1.获取国际窗口大小;

2.控制台参数;

3.创建线程;

4.提示消息;

5.覆盖引导扇区。

打开start函数



blob.png



分析start函数伪代码:

该函数主要功能为设置病毒窗口大小,并进行创建





PhysicalDriver0文件中应该储存的是恶意代码



blob.png




blob.png


病毒运行到main程序,输出提示信息



blob.png


 

病毒提权部分函数






3、OD动态分析
在静态分析中,得到的关键函数下断,运行程序
执行外部MEMZ程序,并启动watchdog

blob.png

blob.png



可以看到程序提示染上病毒



blob.png





blob.png



程序会开启很多线程






四、线程分析



4.1、随机获取URL并在浏览器中打开

 


blob.png




blob.png



4.2、打开notepad,显示提示消息



blob.png



4.3、使鼠标失控



blob.png



4.4、改变屏幕显示