当前位置:安全客 >> 知识详情

【技术分享】U盘拷贝修改MBR勒索木马分析

2017-09-08 19:36:08 阅读:590次 收藏 来源: 安全客 作者:360安全卫士

http://p2.qhimg.com/t01b8cbb5bcff473575.jpg


一、概述


该木马伪装成正常的软件,只有在用户退出软件的时候才会调用恶意代码,将恶意引导代码和原始的MBR以及加密后的硬盘分区表DPT重新写入硬盘。木马文件并没有加密电脑中的其他数据文档,在系统重启的时候提示勒索信息,并且要求输入密码,密码无效则无法进入系统。具体流程如图所示

http://p5.qhimg.com/t014f70e0fa2e412e9b.png

图1-1 勒索木马运行流程图


二、样本来源


样本来自某下载网站,从更新时间来看,是最近发布的。

http://p8.qhimg.com/t0118c8720742cdee6c.png

图2-1 勒索木马软件下载站


三、木马分析


主程序运行之后没有界面,需要热键激活,激活之后界面如下:

http://p1.qhimg.com/t01d8887b577bdc95f3.png

图3-1木马主程序运行界面

该程序的主要恶意行为在用户点击退出按钮的时候激活。通过调用CreateFileA打开主硬盘,调用ReadFile读入第0扇区原始数据。

http://p5.qhimg.com/t01ce915e5b6e3c707e.png

图3-2 木马读入MBR代码

http://p9.qhimg.com/t01d3fe25d5907ed687.png

图3-3读入MBR原始数据

接着程序会在内存中通过XMM寄存器,对读入MBR的硬盘分区表进行异或(0x54)加密,具体如下:

http://p3.qhimg.com/t012c166b87a20bce29.png

图3-4 硬盘分区表加密前

http://p1.qhimg.com/t01a1fd2885ede7a51a.png

图3-5硬盘分区表加密后

接着程序会调用CreateFileA打开主硬盘,调用WriteFile将恶意代码和加密过的硬盘分区表写到0扇区和2扇区,可以看到增加了勒索提示信息。

http://p2.qhimg.com/t01992238142b3a01fa.png

图3-6写入MBR的恶意代码。

重启系统后显示了勒索提示,提示的QQ号实际并不存在,无法联系到勒索作者。

http://p0.qhimg.com/t0190c50fb223190746.png

图3-7重启系统开机进入勒索提示

通过动态分析勒索木马修改的MBR,可以找到木马密码的验证逻辑如下:

http://p8.qhimg.com/t01b23ae652e289042b.png

图3-8开机输入密码以回车键结束

http://p5.qhimg.com/t01835c610794b27e83.png

图3-9判断开始数据是否WWe

http://p2.qhimg.com/t014008f0f7633dd38c.png

图3-10 将输入的数据作为分区表的解密秘钥

输入数据的前三个字母是“WWe”,解密的密钥是“T”,我们在XP系统中输入一组密码“WWeTTTTTTTTT”后成功进入了系统。需要说明的是秘钥“T”的个数根据不同的环境数量可能不同。


四、杀毒的查杀


360杀毒已第一时间查杀该木马,对于勒索木马“防”重于“治”,请广大用户不要轻易信任未知来源的软件。

http://p6.qhimg.com/t016ea084681a6ce621.png

图4-1   360查杀国产新型勒索木马


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4390.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
网瘾患者 2017-09-13 14:50:00
回复 |  点赞

”我们在XP系统中输入一组密码“WWeTTTTTTTTT”后成功进入了系统。需要说明的是秘钥“T”的个数根据不同的环境数量可能不同。“ WWeT 就可以了。 再说异或的同一个密钥所以一个"T"就够了。

2017-09-12 18:01:04
回复 |  点赞

报告的VT截图里毒霸不报毒

你全家都是黑客 2017-09-11 20:02:14
回复 |  点赞

明明毒霸发现的早啊。

你全家都是黑客 2017-09-11 20:02:14
回复 |  点赞

明明毒霸发现的早啊。

活在当下洒脱 2017-09-09 14:51:36
回复 |  点赞

不要下载这个软件!

查看更多