VMP 2.07加壳MBR锁机分析

Virus4

基本信息

报告名称：VMP 2.07加壳锁机分析
作者：Virus4                                                                                                   
样本类型：   MBR锁机   

                                             
  样本文件大小： 1.36MB
  样本文件MD5 校验值：bf287fff2f626175bd54c65d2cbf7174                        
  样本文件SHA1 校验值：579d61a0cb0b549e470e3520ad43693412ebbf26                           
  壳信息：    VMP 2.07                    
                                


简介

新手一枚，第一次接触强壳，即便是不脱壳分析，我也弄了好久...可能没什么技术含量..想想新人多发发帖子，便还是发上来了。如有错误不足还请指正见谅。

被感染系统症状


XP下直接运行会被修改MBR，win7（Vista）以上需要UAC权限。运行后重启症状。


锁机病毒随机生产5位序列号，通过极简单的算法得出6位密码。

详细分析

vmp 2.07应该算是很久以前的壳了，带壳分析起来并不是特别困难。
首先直接 Ctrl+G 输入VirtualProtect





在图中红框处F2下断，并Shift+F9运行。


直至堆栈中出现ReadOnly，停止并取消断点。

此时Alt+M查看区段。

在.data段处F2下断点，Shift+F9运行。

此时代码段应已解密完毕，Ctrl+G到00401000处。
向下翻动可以看到相关字符串以及算法部分。



在算法上面找个地方F4运行到该处，此时程序已经不会跑飞。

程序在红框中的call处生成6位序列号。
在算法（太简单感觉根本叫不上算法...）部分可以看到序列号化作浮点数以后首先乘以6


再加123456

最后得出最终密码。

所谓的算法就是

解密密码=序列号×6+123456

预防及修复措施



此类病毒其实大多数杀软都能进行查杀，多以外挂进行伪装，诱导用户关闭杀软。本样本双后缀名，诱导隐藏后缀名的用户双击而已。

Vista以上系统更是需要UAC权限才能修改MBR。

如果不幸中了该类病毒，可以通过Winhex等工具查看磁盘头来获取密码。也可以通过 DiskGenius等工具对MBR进行修复。

总结

随着系统安全权限的不断完善。病毒的发展似乎从技术型越发成长为盈利型。

目前各式锁机勒索病毒无论在移动还是PC终端上都十分流行。不过一般都有挽救的余地。

作者是小白一枚，帖子技术含量不高，还请各位大佬见教，不知是否有资格在这区里发上一帖。如有违规，版主麻烦处理下。


更新加一下样本，太大，上传到百度云了。
链接: http://pan.baidu.com/s/1o86srTw 密码: b1zb

密码：52pojie
               

lzl12345

新手一枚，第一次接触强壳，即便是不脱壳分析，我也弄了好久...可能没什么技术含量..想想新人多发发帖子，便还是发上来了。如有错误不足还请指正见谅。

Virus4

Bds1r 发表于 2017-3-27 09:39
UEFI的系统无法被mbr敲竹杠吧？还是很有意思，楼主能丢个样本玩一下吗

UEFI的话应该不会显示病毒作者预设的文字。但是由于被修改还是无法启动的。应该还是需要修复。

C-FBI-QM

老哥稳,不过我想问你是用字符串定位的?

Virus4

C-FBI-QM 发表于 2017-3-27 07:09
老哥稳,不过我想问你是用字符串定位的?

定位哪个部分？

toplove

好文，学习了。

hc696di

老哥，能把软件也发出来吗？

苏紫方璇

个人觉得如果熟悉16位汇编的话，可以直接看mbr的代码，从而绕过加壳

雪舞流枫

如果好好利用的话 就可以变成MBR保护计算机的一个好软件 没有密码不能进入系统 如果密码输入错误 就删除硬盘引导 彻底清除数据最好

Virus4

hc696di 发表于 2017-3-27 08:51
老哥，能把软件也发出来吗？

在这里附样本没有问题吧？目前身边没有电脑，回头补上吧。

hc696di

Virus4 发表于 2017-3-27 08:59
在这里附样本没有问题吧？目前身边没有电脑，回头补上吧。

文件名  MBR锁机样本