Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

【技术分享】U盘拷贝修改MBR勒索木马分析

0
0
【技术分享】U盘拷贝修改MBR勒索木马分析

2017-09-08 19:36:08

阅读:367次
点赞(0)
收藏
来源: 安全客





【技术分享】U盘拷贝修改MBR勒索木马分析

作者:360安全卫士





【技术分享】U盘拷贝修改MBR勒索木马分析

一、概述

该木马伪装成正常的软件,只有在用户退出软件的时候才会调用恶意代码,将恶意引导代码和原始的MBR以及加密后的硬盘分区表DPT重新写入硬盘。木马文件并没有加密电脑中的其他数据文档,在系统重启的时候提示勒索信息,并且要求输入密码,密码无效则无法进入系统。具体流程如图所示


【技术分享】U盘拷贝修改MBR勒索木马分析

图1-1 勒索木马运行流程图


二、样本来源

样本来自某下载网站,从更新时间来看,是最近发布的。


【技术分享】U盘拷贝修改MBR勒索木马分析

图2-1 勒索木马软件下载站


三、木马分析

主程序运行之后没有界面,需要热键激活,激活之后界面如下:


【技术分享】U盘拷贝修改MBR勒索木马分析

图3-1木马主程序运行界面

该程序的主要恶意行为在用户点击退出按钮的时候激活。通过调用CreateFileA打开主硬盘,调用ReadFile读入第0扇区原始数据。


【技术分享】U盘拷贝修改MBR勒索木马分析

图3-2 木马读入MBR代码


【技术分享】U盘拷贝修改MBR勒索木马分析

图3-3读入MBR原始数据

接着程序会在内存中通过XMM寄存器,对读入MBR的硬盘分区表进行异或(0x54)加密,具体如下:


【技术分享】U盘拷贝修改MBR勒索木马分析

图3-4 硬盘分区表加密前


【技术分享】U盘拷贝修改MBR勒索木马分析

图3-5硬盘分区表加密后

接着程序会调用CreateFileA打开主硬盘,调用WriteFile将恶意代码和加密过的硬盘分区表写到0扇区和2扇区,可以看到增加了勒索提示信息。


【技术分享】U盘拷贝修改MBR勒索木马分析

图3-6写入MBR的恶意代码。

重启系统后显示了勒索提示,提示的QQ号实际并不存在,无法联系到勒索作者。


【技术分享】U盘拷贝修改MBR勒索木马分析

图3-7重启系统开机进入勒索提示

通过动态分析勒索木马修改的MBR,可以找到木马密码的验证逻辑如下:


【技术分享】U盘拷贝修改MBR勒索木马分析

图3-8开机输入密码以回车键结束


【技术分享】U盘拷贝修改MBR勒索木马分析

图3-9判断开始数据是否WWe


【技术分享】U盘拷贝修改MBR勒索木马分析

图3-10 将输入的数据作为分区表的解密秘钥

输入数据的前三个字母是“WWe”,解密的密钥是“T”,我们在XP系统中输入一组密码“WWeTTTTTTTTT”后成功进入了系统。需要说明的是秘钥“T”的个数根据不同的环境数量可能不同。


四、杀毒的查杀

360杀毒已第一时间查杀该木马,对于勒索木马“防”重于“治”,请广大用户不要轻易信任未知来源的软件。


【技术分享】U盘拷贝修改MBR勒索木马分析

图4-1 360查杀国产新型勒索木马



【技术分享】U盘拷贝修改MBR勒索木马分析
【技术分享】U盘拷贝修改MBR勒索木马分析
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4390.html

Viewing all articles
Browse latest Browse all 12749