吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.mlqcje.live

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 17869|回復: 243
上一主題 下一主題

[PC樣本分析] 詳細分析彩虹貓(MEMZ)病毒

    [復制鏈接]
跳轉到指定樓層
樓主
buzhifou01 發表于 2020-1-30 12:19 回帖獎勵
使用論壇附件上傳樣本壓縮包時必須使用壓縮密碼保護,壓縮密碼:52pojie,否則會導致論壇被殺毒軟件等誤報,論壇有權隨時刪除相關附件和帖子!
本帖最后由 buzhifou01 于 2020-1-30 13:19 編輯

樣本信息

靜態分析1.首先使用PEID和ExeInfo工具對樣本進行查殼,以下是查殼結果

2.查看該病毒用了什么算法,發現調用CryptGenRandom函數。

3.用IDA打開,可以清晰得看到代碼邏輯,因此該病毒無殼,從字符串窗口中可以看出該病毒在運行的過程中可能會出現的提示信息和信息幫助鏈接,使用的系統軟件









4.查看導入表

在advapi32.dll中看到AdjustTokenPribileges、OpenProcessToken等api,說明病毒運行的時候升級了權限
5.使用ResourceHacker查看發現該軟件必須在管理員權限下運行


動態分析
1.運行病毒,會彈出很多軟件,并且瀏覽器軟件會打開多個頁面,桌面閃爍,彈出很多窗口,鼠標失控,桌面拉伸









2.運行到后面,電腦會藍屏,重新開機會出現彩虹貓并發出聲音,說明該病毒已覆蓋了主引導扇區導致了系統不能正常啟動





3.使用動態分析工具,可以看到病毒生成的子進程和執行的操作,從中可以看出該病毒對注冊表進行了操作





4.桌面上出現desktop隱藏文件,打開發現使用了shell32.dll和imageres.dll



病毒分析

start處分析
1.可以看出函數的數量并不多,先大致看下程序邏輯:獲取系統窗口寬度和高度,獲取控制臺參數,覆蓋主引導扇區,創建10個惡意線程,顯示提示信息,執行5次watchdog等
















2.OD運行,窗口的寬度和高度分別為:
0x5fe,0x2c6,控制臺參數為病毒所在路徑







消息對話框
由于參數的個數沒有大于1,接著彈出消息提示框,提示染上病毒信息






watchdog進程
1.接著程序附加的參數為watchdog(第一次運行時)。

2.當以watchdog為參數運行程序時,執行了5次watchdog,并且遍歷所有進程





3.此時已經內設置了消息 HOOK,每個窗口創建的位置都不同,最后使系統藍屏




main程序

1.隨后病毒運行到main程序,附加參數為 main,當再次運行病毒程序時,這時已經運行了watchdog。

2.提升病毒進程的權限







覆蓋主引導扇區
1.當程序帶著參數運行時,會事先覆蓋完主引導扇區的512 個字節空間后,在OD中可以看到寫入的惡意代碼









2.程序分兩次寫入內存,并寫入到PhysicalDrive0中




線程分析
病毒運行時產生了很多線程,接下來分析每個線程,這些線程執行的操作都不同,但最后進入死循環中,搶占系統資源導致系統藍屏奔潰。



線程一
運行瀏覽器軟件,隨機打開網站瀏覽,運行任務管理器,注冊表管理器等














線程二
打開了記事本,顯示提示信息







線程三
鼠標位置失控,在上圖中可以看到,鼠標位置會產生很多差圖標,導致鼠標不能正常使用


線程四
改變屏幕顯示并且桌面上軟件界面被復制

線程五
彈出“still using this computer”提示信息

線程六
界面大小改變,桌面變形

線程七
病毒運行的過程中發出聲音

線程八
枚舉子窗口,隨對子窗口進行變形操作






線程九
插入鍵盤事件,對鍵盤進行監控

線程十
讓桌面變色

解決方案
1.不要打開不知名的下載軟件和郵件附件
2.如果系統還能運行,先用查殺軟件查殺后,重建 MBR 引導程序
3.如果系統不能運行, 通過啟動U盤運行系統,打開分區軟件,選擇“搜索分區”,之后點擊“保存更改”,恢復被彩虹貓吞掉的所有分區,再進行引導修復,重建MBR,重啟就可以進入系統,全部文件無損壞、丟失,無需重裝系統、更換硬盤等。






virus.rar

17.84 KB, 下載次數: 373, 下載積分: 吾愛幣 -1 CB

免費評分

參與人數 119吾愛幣 +97 熱心值 +109 收起 理由
jn1688 + 1 + 1 用心討論,共獲提升!
wasdzjh + 1 + 1 [email protected]
dingyx99 + 1 + 1 用心討論,共獲提升!
魅夜 + 1 + 1 我很贊同!
pshendelzare + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
Nightboy + 1 + 1 用心討論,共獲提升!
安天 + 1 用心討論,共獲提升!大佬說話分析夠透徹
woshiapple + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
lalala17 + 1 + 1 [email protected]
zybyxj + 1 + 1 [email protected]
victy + 1 + 1 我很贊同!
Bluezzz + 1 只想知道為什么我的壓縮文件下載后打不開,沒人幫我55555
武神鬼才 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
不是周五 + 1 [email protected]
usbn + 1 + 1 我很贊同!
bluelight037 + 1 + 1 謝謝分析,這行為看來就完全是個故意破壞的惡作劇軟件的樣子
qazwsxlty + 1 + 1 我很贊同!
landauchos + 1 [email protected]
Lovehacker技術 + 1 + 1 [email protected]
自強 + 1 + 1 [email protected]
ZCN20201408 + 1 + 1 [email protected]
滑稽pro + 1 [email protected]
StrangeDS + 1 + 1 用心討論,共獲提升!
墨水_Q + 1 + 1 感謝分析討論交流,感謝大神
sanzang + 1 + 1 我很贊同!
不諳世事的騷年 + 1 + 1 我很贊同!
深藍5188 + 1 + 1 我很贊同!
FJFJ + 1 + 1 我很贊同!
zhangchang + 1 + 1 [email protected]
執筆寫墨白 + 1 + 1 我很贊同!
xlsheheda + 1 + 1 學習如何防止病毒。對于我這種,主要是需要知道怎么解決哈哈哈
Sacrify + 1 + 1 [email protected]
Dangxuan + 1 用心討論,共獲提升!
膨脹的菜鳥 + 1 我很贊同!
HorkeuKamui + 1 + 1 [email protected]
ajdfnrspwk + 1 熱心回復!
learnnovo + 1 + 1 [email protected]
dap + 1 + 1 [email protected]
Qiao + 1 用心討論,共獲提升!
vvs + 1 大佬,為何你如此秀~!學習學習
我就是我io + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
dxmcf + 1 + 1 熱心回復!
hansd + 1 + 1 這個分析做得不錯,起碼知道這個病毒原理
sunrui1134 + 1 + 1 熱心回復!
SaltyFish233 + 1 + 1 已經處理,感謝您對吾愛破解論壇的支持!
tomcath + 1 + 1 我很贊同!
novays + 1 + 1 用心討論,共獲提升!
錯的是世界 + 1 + 1 支持技術貼,大佬
mms123 + 1 + 1 我很贊同!
hwt1995511 + 1 用心討論,共獲提升!
20091214 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
沒有雞哪來的蛋 + 1 + 1 用心討論,共獲提升!
精妹 + 1 用心討論,共獲提升!
輕冬云 + 1 + 1 我很贊同!
wsm98409 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
liryi + 1 + 1 我很贊同!
wjs998 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
長方塊 + 1 + 1 用心討論,共獲提升!
186978177 + 1 666
asojdp + 1 + 1 用心討論,共獲提升!
surfinternet28 + 1 + 1 我很贊同!
azune + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
aptsuny + 1 + 1 用心討論,共獲提升!
三滑稽甲苯 + 1 用心討論,共獲提升!
kemingyu + 1 + 1 我很贊同!
暮成雪 + 1 + 1 熱心回復!
sonneay + 1 我很贊同!
chkds + 1 + 1 用心討論,共獲提升!
daniel7785 + 1 用心討論,共獲提升!
有點皮的ME + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
NKSXB + 1 我很贊同!
Mark_nnn + 1 用心討論,共獲提升!
心若逸塵 + 1 + 1 用心討論,共獲提升!
17829110132 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
hgfty1 + 1 [email protected]
luo2876019 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
N0LL + 1 + 1 [email protected]
ryd + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
麻実薫 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
andyling123 + 1 + 1 [email protected]
kyros + 1 + 1 [email protected]
L15263458908 + 1 熱心回復!
MNXYPRO + 1 + 1 [email protected]
lmjg520 + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
-Atlantis- + 1 + 1 用心討論,共獲提升!
悔創阿里杰克馬 + 1 + 1 用心討論,共獲提升!
zyzand + 1 + 1 [email protected]
lyslxx + 1 + 1 我很贊同!
七個漲停一倍 + 1 用心討論,共獲提升!
jnez112358 + 1 + 1 [email protected]
xiong_online + 1 + 1 用心討論,共獲提升!
激動的石榴 + 1 + 1 熱心回復!
魔鬼視覺 + 1 + 1 我很贊同!
拔劍不知誰為雄 + 1 + 1 用心討論,共獲提升!
工程歐巴 + 2 + 1 我很贊同!
fei8255 + 1 + 1 受教了,努力學習
poisonbcat + 1 + 1 [email protected]
siuhoapdou + 1 + 1 用心討論,共獲提升!
冷月殘星 + 1 + 1 我很贊同!
獨行風云 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
雪萊鳥 發表于 2020-1-30 21:01
麻煩分析一下“新肺炎”病毒,把它干掉,咱就能愉快的上班了。

免費評分

參與人數 7吾愛幣 +9 熱心值 +5 收起 理由
liuran001 + 1 + 1 我很贊同!
麻雀飛過 + 1 我很贊同!
cd. + 1 + 1 我很贊同!
溫柔的一哥 + 1 + 1 你需要一個內科醫生,但是不能干掉病毒會中毒
陳獨銹 + 1 我很贊同!
slink0 + 1 + 1 快抓住,別讓跑了,要隔離
KaQqi + 3 + 1 你為什么這么優秀

查看全部評分

推薦
Corona 發表于 2020-1-30 16:58
B站一群小學生玩這個病毒…各種彩虹貓大戰各種殺軟…毫無技術含量……
甚至有人說“只要那個記事本不彈出來,MBR就不會被感染”,我都驚了…
當然樓主分析的很棒很詳細,加油,期待你的下一個分析帖子。
推薦
semiuel 發表于 2020-1-30 13:16
雖然我什么都沒看懂,但只看這么多花花綠綠的圖片就知道很厲害。
推薦
你好港嶼 發表于 2020-1-30 17:42
我家的電腦可能都運行不起這個病毒
推薦
mercsexy 發表于 2020-1-30 12:32
厲害了大佬
7#
菜鳥小白 發表于 2020-1-30 12:38
火鉗劉明
8#
bobowxc 發表于 2020-1-30 13:18
感謝大佬詳細分享
9#
韜. 發表于 2020-1-30 13:20
厲害大佬
10#
桂花糕乀 發表于 2020-1-30 14:51
大佬,那個是完整病毒樣本不,虛擬機里面運行,貌似卡住了……
11#
aa4763197 發表于 2020-1-30 14:54
學習大佬。
12#
JuncoJet 發表于 2020-1-30 15:50
MBR驅動聲卡發出聲音?好像有點難度把
好奇彩虹貓的聲音怎么發出來的

點評

應該是用的蜂鳴器,github上好像有源碼  詳情 回復 發表于 2020-1-30 21:54
13#
 樓主| buzhifou01 發表于 2020-1-30 16:45 <
JuncoJet 發表于 2020-1-30 15:50
MBR驅動聲卡發出聲音?好像有點難度把
好奇彩虹貓的聲音怎么發出來的

病毒程序里面調用了聲音媒體相關的函數,包括WaveOutOpen、waveoutprepareHeader,waveoutWriter等
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:本版塊禁止灌水或回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2020-4-8 07:11

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回復 返回頂部 返回列表
内蒙古11选5开奖查询百度 老快3历史开奖结果走势图 免费中超直播 福建11选5统计 辽宁35选7官方网站 微乐河南麻将辅助器安卓 重庆的长牌游戏下载 快3技巧 股票涨跌是什么意思 广东快乐十分现场开 黑龙江11选5倍投表 福彩3d和值尾五行走势图 北京麻将吃碰一手 欧国联和欧洲杯 十分十一选五APP下载 超级大乐透开奖规则 快乐12走势手