卡饭MBR样本分析(纯破坏病毒)
本帖最后由 willJ 于 2013-3-14 20:34 编辑好久没有去卡饭逛了,昨天去样本区看见一个很火的帖子,号称中国木马领先全球,于是下载下来看看,顿时觉得上当了,应该算是一个玩笑程序,不过破坏力挺大的,这里和大家分享下。基本信息
报告名称:卡饭MBR样本分析
作者:willJ
样本类型:MBR感染
样本文件大小:36864 字节 ( 36.000 KB,0.035 MB )
样本MD5:955b66c722ca993dd11fbe56bbf92525
壳信息:无壳
简介
该样本是一个修改MBR的玩笑病毒。
被感染的系统症状
感染该样本后,重启电脑电脑将无法正常启动,只会显示一窜字符串。
文件系统变化
修改MBR
注册表变化
无
网络症状无
详细分析/功能介绍1.利用OpenProcessToken,LookupPrivilegeValueA,AdjustTokenPrivileges提升自身权限,为后面对MBR操作做准备。
2.打开MBR所在的物理驱动器。
3.向MBR写入0x200数据(512字节)写入的数据为,现在应该可以猜测等会儿出现的效果了,屏幕显示I am virus! Fuck you :-)。利用Winhex提取出感染后的MBR1.工具-打开磁盘2.选择物理磁盘3.选择前512字节,右键-选择-复制选块-置入新文件重启后的效果分析感染后的MBR1.载入IDA,选择loading offset为0x7c00,因为BIOS将MBR就读取到内存的0x7c00处执行2.ALT+S选择16位的方式分析3.利用快捷键A和C调整代码,调整后下图,核心功能就是利用int 10h中断显示字符串。
预防和修复预防最好备份一份自己的原始MBR,以便MBR遭到摧毁时候可以方便的恢复。修复
利用WIN PE进入系统,开始-程序-磁盘光盘工具-PTDD磁盘分区表医生
选择自动重建分区表,可以发现已经可以识别磁盘分区了,重启下就可以正常进入系统了
总结这个帖子应该是一个标题党,但是此样本确实具备比较大的破坏力,如果用户不小心运行了那就悲剧了,修复也比较麻烦,修复得不好可能数据就没有了,大家没事可以备份下自己带你你的MBR,以便MBR遭到摧毁的时候可以恢复。根据这个程序逆向的代码以及显示很像Ghost代码里扣出来的,功能单一,破坏力巨大。样本:
密码:52pojie
小心运行!!!
willJ 发表于 2014-7-1 09:30
是的,直接用winhex可以读取出来
ida加载的时候直接用二进制模式就可以看到他的代码了哈,谢谢! hiddes 发表于 2014-6-30 16:25
意思是,直接吧那段数据单独拿出来分析么?
是的,直接用winhex可以读取出来 gh0st3.6源码里面就有一个硬盘锁,估计是那个MBR类型的 360查杀吧 会不会在虚拟机运行把物理机给的硬盘给感染了? 膜拜牛牛~呵呵~ 451290583 发表于 2013-3-14 21:05 static/image/common/back.gif
会不会在虚拟机运行把物理机给的硬盘给感染了?
不会的
记得当初有款远控还在流行改版权的时代那款远控一改版权就出现这个情况 名字叫什么忘了 学习学习,看起来挺强大的,我下载下来分析下! 又是改mbr的......
如果我没记错的话x山x60现在都有保护mbr的功能了......
比如......onekey ghost建立开机热键时就回提示修改mbr......
自从鬼影泛滥后杀软厂商都学聪明了=w= 自己 下载试试