本帖最后由 willJ 于 2013-3-14 20:34 编辑
好久没有去卡饭逛了,昨天去样本区看见一个很火的帖子,号称中国木马领先全球,于是下载下来看看,顿时觉得上当了,应该算是一个玩笑程序,不过破坏力挺大的,这里和大家分享下。 基本信息
报告名称:卡饭MBR样本分析
作者:willJ
样本类型:MBR感染
样本文件大小:36864 字节 ( 36.000 KB,0.035 MB )
样本MD5:955b66c722ca993dd11fbe56bbf92525
壳信息:无壳
简介
该样本是一个修改MBR的玩笑病毒。
被感染的系统症状
感染该样本后,重启电脑电脑将无法正常启动,只会显示一窜字符串。
文件系统变化
修改MBR
注册表变化
无
网络症状 无
详细分析/功能介绍 1.利用OpenProcessToken,LookupPrivilegeValueA,AdjustTokenPrivileges提升自身权限,为后面对MBR操作做准备。
2.打开MBR所在的物理驱动器。
3.向MBR写入0x200数据(512字节) 写入的数据为,现在应该可以猜测等会儿出现的效果了,屏幕显示I am virus! Fuck you :-)。 利用Winhex提取出感染后的MBR 1.工具-打开磁盘 2.选择物理磁盘 3.选择前512字节,右键-选择-复制选块-置入新文件 重启后的效果 分析感染后的MBR 1.载入 IDA,选择loading offset为0x7c00,因为BIOS将MBR就读取到内存的0x7c00处执行 2.ALT+S选择16位的方式分析 3.利用快捷键A和C调整代码,调整后下图,核心功能就是利用int 10h中断显示字符串。
预防和修复
预防 最好备份一份自己的原始MBR,以便MBR遭到摧毁时候可以方便的恢复。 修复
利用WIN PE进入系统,开始-程序-磁盘光盘工具-PTDD磁盘分区表医生
选择自动重建分区表,可以发现已经可以识别磁盘分区了,重启下就可以正常进入系统了
总结 这个帖子应该是一个标题党,但是此样本确实具备比较大的破坏力,如果用户不小心运行了那就悲剧了,修复也比较麻烦,修复得不好可能数据就没有了,大家没事可以备份下自己带你你的MBR,以便MBR遭到摧毁的时候可以恢复。 根据这个程序逆向的代码以及显示很像Ghost代码里扣出来的,功能单一,破坏力巨大。 样本:
mbr.rar
(10.72 KB, 下载次数: 830)
密码:52pojie
小心运行!!!
| 
[复制链接]
发表于 2013-3-14 20:32
发表于 2014-7-1 16:26
|
发表于 2014-7-1 09:30
