VMP 2.07加壳MBR锁机分析
本帖最后由 Virus4 于 2017-5-5 18:37 编辑基本信息
报告名称:VMP 2.07加壳锁机分析
作者:Virus4
样本类型: MBR锁机
样本文件大小: 1.36MB
样本文件MD5 校验值:bf287fff2f626175bd54c65d2cbf7174
样本文件SHA1 校验值:579d61a0cb0b549e470e3520ad43693412ebbf26
壳信息: VMP 2.07
简介
新手一枚,第一次接触强壳,即便是不脱壳分析,我也弄了好久...可能没什么技术含量..想想新人多发发帖子,便还是发上来了。如有错误不足还请指正见谅。
被感染系统症状
XP下直接运行会被修改MBR,win7(Vista)以上需要UAC权限。运行后重启症状。
锁机病毒随机生产5位序列号,通过极简单的算法得出6位密码。
详细分析
vmp 2.07应该算是很久以前的壳了,带壳分析起来并不是特别困难。
首先直接 Ctrl+G 输入VirtualProtect
在图中红框处F2下断,并Shift+F9运行。
直至堆栈中出现ReadOnly,停止并取消断点。
此时Alt+M查看区段。
在.data段处F2下断点,Shift+F9运行。
此时代码段应已解密完毕,Ctrl+G到00401000处。
向下翻动可以看到相关字符串以及算法部分。
在算法上面找个地方F4运行到该处,此时程序已经不会跑飞。
程序在红框中的call处生成6位序列号。
在算法(太简单感觉根本叫不上算法...)部分可以看到序列号化作浮点数以后首先乘以6
再加123456
最后得出最终密码。
所谓的算法就是
解密密码=序列号×6+123456
预防及修复措施
此类病毒其实大多数杀软都能进行查杀,多以外挂进行伪装,诱导用户关闭杀软。本样本双后缀名,诱导隐藏后缀名的用户双击而已。
Vista以上系统更是需要UAC权限才能修改MBR。
如果不幸中了该类病毒,可以通过Winhex等工具查看磁盘头来获取密码。也可以通过 DiskGenius等工具对MBR进行修复。
总结
随着系统安全权限的不断完善。病毒的发展似乎从技术型越发成长为盈利型。
目前各式锁机勒索病毒无论在移动还是PC终端上都十分流行。不过一般都有挽救的余地。
作者是小白一枚,帖子技术含量不高,还请各位大佬见教,不知是否有资格在这区里发上一帖。如有违规,版主麻烦处理下。
更新加一下样本,太大,上传到百度云了。
链接: http://pan.baidu.com/s/1o86srTw 密码: b1zb
密码:52pojie
新手一枚,第一次接触强壳,即便是不脱壳分析,我也弄了好久...可能没什么技术含量..想想新人多发发帖子,便还是发上来了。如有错误不足还请指正见谅。 Bds1r 发表于 2017-3-27 09:39
UEFI的系统无法被mbr敲竹杠吧?还是很有意思,楼主能丢个样本玩一下吗
UEFI的话应该不会显示病毒作者预设的文字。但是由于被修改还是无法启动的。应该还是需要修复。 老哥稳,不过我想问你是用字符串定位的? C-FBI-QM 发表于 2017-3-27 07:09
老哥稳,不过我想问你是用字符串定位的?
定位哪个部分? 好文,学习了。 老哥,能把软件也发出来吗? 个人觉得如果熟悉16位汇编的话,可以直接看mbr的代码,从而绕过加壳 如果好好利用的话 就可以变成MBR保护计算机的一个好软件 没有密码不能进入系统 如果密码输入错误 就删除硬盘引导 彻底清除数据最好 hc696di 发表于 2017-3-27 08:51
老哥,能把软件也发出来吗?
在这里附样本没有问题吧?目前身边没有电脑,回头补上吧。 Virus4 发表于 2017-3-27 08:59
在这里附样本没有问题吧?目前身边没有电脑,回头补上吧。
文件名MBR锁机样本