MBR病毒分析

xiaoxiao2021-02-27  443

样本行为: 1、样本运行后,会直接获取\\.\PhysicalDrive0的句柄,从第1扇区(偏移为0x0)读取大小为200字节的内容写入到第3扇区(偏移为0x400)中。其目的应该在输入正确密码后,重新恢复原有第1扇区的信息。 2、往第1扇区(偏移为0x0)中写入大小为200字节的MBR敲诈信息(即重启后的开机界面,需要输入正确的密码才能恢复第1扇区) 3、在创建输入密码界面的时候,则会不停的遍历进程比对来实现结束掉任务管理器进程taskmgr.exe,主要是为了守护样本进程防止被任务管理器结束掉。 写入第3扇区 -----00403354  |.  E8 FA040000   call 复件_123.00403853 往第1扇区写入MBR敲诈信息 -----00403367  |.  E8 E7040000   call 复件_123.00403853 0012F8E4   001D26D0  ASCII "YDBFY5U69MGNSIYD"
转载请注明原文地址: https://www.6miu.com/read-4675.html

最新回复(0)