详细分析彩虹猫(MEMZ)病毒
本帖最后由 buzhifou01 于 2020-1-30 13:19 编辑样本信息
静态分析1.首先使用PEID和ExeInfo工具对样本进行查壳,以下是查壳结果
2.查看该病毒用了什么算法,发现调用CryptGenRandom函数。
3.用ida打开,可以清晰得看到代码逻辑,因此该病毒无壳,从字符串窗口中可以看出该病毒在运行的过程中可能会出现的提示信息和信息帮助链接,使用的系统软件
4.查看导入表
在advapi32.dll中看到AdjustTokenPribileges、OpenProcessToken等api,说明病毒运行的时候升级了权限
5.使用ResourceHacker查看发现该软件必须在管理员权限下运行
动态分析
1.运行病毒,会弹出很多软件,并且浏览器软件会打开多个页面,桌面闪烁,弹出很多窗口,鼠标失控,桌面拉伸
2.运行到后面,电脑会蓝屏,重新开机会出现彩虹猫并发出声音,说明该病毒已覆盖了主引导扇区导致了系统不能正常启动
3.使用动态分析工具,可以看到病毒生成的子进程和执行的操作,从中可以看出该病毒对注册表进行了操作
4.桌面上出现desktop隐藏文件,打开发现使用了shell32.dll和imageres.dll
病毒分析
start处分析
1.可以看出函数的数量并不多,先大致看下程序逻辑:获取系统窗口宽度和高度,获取控制台参数,覆盖主引导扇区,创建10个恶意线程,显示提示信息,执行5次watchdog等
2.OD运行,窗口的宽度和高度分别为:0x5fe,0x2c6,控制台参数为病毒所在路径
消息对话框
由于参数的个数没有大于1,接着弹出消息提示框,提示染上病毒信息
watchdog进程
1.接着程序附加的参数为watchdog(第一次运行时)。
2.当以watchdog为参数运行程序时,执行了5次watchdog,并且遍历所有进程
3.此时已经内设置了消息 HOOK,每个窗口创建的位置都不同,最后使系统蓝屏
main程序
1.随后病毒运行到main程序,附加参数为 main,当再次运行病毒程序时,这时已经运行了watchdog。
2.提升病毒进程的权限
覆盖主引导扇区
1.当程序带着参数运行时,会事先覆盖完主引导扇区的512 个字节空间后,在OD中可以看到写入的恶意代码
2.程序分两次写入内存,并写入到PhysicalDrive0中
线程分析
病毒运行时产生了很多线程,接下来分析每个线程,这些线程执行的操作都不同,但最后进入死循环中,抢占系统资源导致系统蓝屏奔溃。
线程一
运行浏览器软件,随机打开网站浏览,运行任务管理器,注册表管理器等
线程二
打开了记事本,显示提示信息
线程三
鼠标位置失控,在上图中可以看到,鼠标位置会产生很多差图标,导致鼠标不能正常使用
线程四
改变屏幕显示并且桌面上软件界面被复制
线程五
弹出“still using this computer”提示信息
线程六
界面大小改变,桌面变形
线程七
病毒运行的过程中发出声音
线程八
枚举子窗口,随对子窗口进行变形操作
线程九
插入键盘事件,对键盘进行监控
线程十
让桌面变色
解决方案
1.不要打开不知名的下载软件和邮件附件
2.如果系统还能运行,先用查杀软件查杀后,重建 MBR 引导程序
3.如果系统不能运行, 通过启动U盘运行系统,打开分区软件,选择“搜索分区”,之后点击“保存更改”,恢复被彩虹猫吞掉的所有分区,再进行引导修复,重建MBR,重启就可以进入系统,全部文件无损坏、丢失,无需重装系统、更换硬盘等。
麻烦分析一下“新肺炎”病毒,把它干掉,咱就能愉快的上班了。 B站一群小学生玩这个病毒…各种彩虹猫大战各种杀软…毫无技术含量……
甚至有人说“只要那个记事本不弹出来,MBR就不会被感染”,我都惊了…
当然楼主分析的很棒很详细,加油,期待你的下一个分析帖子。 虽然我什么都没看懂,但只看这么多花花绿绿的图片就知道很厉害。 我家的电脑可能都运行不起这个病毒 大佬牛逼 厉害了大佬 火钳刘明 感谢大佬详细分享 厉害大佬 大佬,那个是完整病毒样本不,虚拟机里面运行,貌似卡住了…… 学习大佬。 MBR驱动声卡发出声音?好像有点难度把
好奇彩虹猫的声音怎么发出来的 JuncoJet 发表于 2020-1-30 15:50
MBR驱动声卡发出声音?好像有点难度把
好奇彩虹猫的声音怎么发出来的
病毒程序里面调用了声音媒体相关的函数,包括WaveOutOpen、waveoutprepareHeader,waveoutWriter等