精睿(vc52).网络安全

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 10536|回复: 25

[分享] 【技术分享】U盘拷贝修改MBR勒索木马分析

  [复制链接]
发表于 2017-9-16 18:08 | 显示全部楼层 |阅读模式

马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x


一、概述


该木马伪装成正常的软件,只有在用户退出软件的时候才会调用恶意代码,将恶意引导代码和原始的MBR以及加密后的硬盘分区表DPT重新写入硬盘。木马文件并没有加密电脑中的其他数据文档,在系统重启的时候提示勒索信息,并且要求输入密码,密码无效则无法进入系统。具体流程如图所示

图1-1 勒索木马运行流程图


二、样本来源


样本来自某下载网站,从更新时间来看,是最近发布的。

图2-1 勒索木马软件下载站


三、木马分析


主程序运行之后没有界面,需要热键激活,激活之后界面如下:

图3-1木马主程序运行界面

该程序的主要恶意行为在用户点击退出按钮的时候激活。通过调用CreateFileA打开主硬盘,调用ReadFile读入第0扇区原始数据。

图3-2 木马读入MBR代码

图3-3读入MBR原始数据

接着程序会在内存中通过XMM寄存器,对读入MBR的硬盘分区表进行异或(0x54)加密,具体如下:

图3-4 硬盘分区表加密前

图3-5硬盘分区表加密后

接着程序会调用CreateFileA打开主硬盘,调用WriteFile将恶意代码和加密过的硬盘分区表写到0扇区和2扇区,可以看到增加了勒索提示信息。

图3-6写入MBR的恶意代码。

重启系统后显示了勒索提示,提示的QQ号实际并不存在,无法联系到勒索作者。

图3-7重启系统开机进入勒索提示

通过动态分析勒索木马修改的MBR,可以找到木马密码的验证逻辑如下:

图3-8开机输入密码以回车键结束

图3-9判断开始数据是否WWe

图3-10 将输入的数据作为分区表的解密秘钥

输入数据的前三个字母是“WWe”,解密的密钥是“T”,我们在XP系统中输入一组密码“WWeTTTTTTTTT”后成功进入了系统。需要说明的是秘钥“T”的个数根据不同的环境数量可能不同。


四、杀毒的查杀


360杀毒已第一时间查杀该木马,对于勒索木马“防”重于“治”,请广大用户不要轻易信任未知来源的软件。

图4-1   360查杀国产新型勒索木马


发表于 2017-9-16 18:26 | 显示全部楼层
谢谢分享。

点评

感谢支持  详情 回复 发表于 2017-9-16 18:27
回复 支持 反对

使用道具 举报

 楼主| 发表于 2017-9-16 18:27 | 显示全部楼层

感谢支持
回复 支持 反对

使用道具 举报

发表于 2017-9-16 19:29 | 显示全部楼层
谢谢分享。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2017-9-23 20:09 | 显示全部楼层
感谢支持
回复 支持 反对

使用道具 举报

发表于 2017-9-27 16:31 | 显示全部楼层
牛逼哦,支持下

点评

感谢支持  详情 回复 发表于 2017-10-14 18:21
回复 支持 反对

使用道具 举报

发表于 2017-9-27 19:44 | 显示全部楼层
学习了感谢分享

点评

感谢支持  详情 回复 发表于 2017-10-14 18:21
回复 支持 反对

使用道具 举报

发表于 2017-9-28 10:08 | 显示全部楼层
看看

点评

感谢支持  详情 回复 发表于 2017-10-14 18:21
回复 支持 反对

使用道具 举报

发表于 2017-10-14 16:38 | 显示全部楼层
回复 支持 反对

使用道具 举报

 楼主| 发表于 2017-10-14 18:21 | 显示全部楼层
wyx0912 发表于 2017-9-27 16:31
牛逼哦,支持下

感谢支持
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|文字版|RSS|站长邮件|精睿.网络安全 ( 鄂ICP备07005250号 )

GMT+8, 2018-1-16 19:40 , Processed in 0.101283 second(s), 24 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表