官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 详细分析彩虹猫(MEMZ)病毒
12345678910... 29下一页
返回列表 发新帖
查看: 52330|回复: 287
上一主题 下一主题
收起左侧

[PC样本分析] 详细分析彩虹猫(MEMZ)病毒

    [复制链接]
buzhifou01
跳转到指定楼层
楼主
buzhifou01 发表于 2020-1-30 12:19 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 buzhifou01 于 2020-1-30 13:19 编辑

样本信息

静态分析1.首先使用PEID和ExeInfo工具对样本进行查壳,以下是查壳结果

2.查看该病毒用了什么算法,发现调用CryptGenRandom函数。

3.用IDA打开,可以清晰得看到代码逻辑,因此该病毒无壳,从字符串窗口中可以看出该病毒在运行的过程中可能会出现的提示信息和信息帮助链接,使用的系统软件









4.查看导入表

在advapi32.dll中看到AdjustTokenPribileges、OpenProcessToken等api,说明病毒运行的时候升级了权限
5.使用ResourceHacker查看发现该软件必须在管理员权限下运行

动态分析
1.运行病毒,会弹出很多软件,并且浏览器软件会打开多个页面,桌面闪烁,弹出很多窗口,鼠标失控,桌面拉伸









2.运行到后面,电脑会蓝屏,重新开机会出现彩虹猫并发出声音,说明该病毒已覆盖了主引导扇区导致了系统不能正常启动





3.使用动态分析工具,可以看到病毒生成的子进程和执行的操作,从中可以看出该病毒对注册表进行了操作





4.桌面上出现desktop隐藏文件,打开发现使用了shell32.dll和imageres.dll


病毒分析

start处分析
1.可以看出函数的数量并不多,先大致看下程序逻辑:获取系统窗口宽度和高度,获取控制台参数,覆盖主引导扇区,创建10个恶意线程,显示提示信息,执行5次watchdog等
















2.OD运行,窗口的宽度和高度分别为:0x5fe,0x2c6,控制台参数为病毒所在路径







消息对话框
由于参数的个数没有大于1,接着弹出消息提示框,提示染上病毒信息






watchdog进程
1.接着程序附加的参数为watchdog(第一次运行时)。

2.当以watchdog为参数运行程序时,执行了5次watchdog,并且遍历所有进程





3.此时已经内设置了消息 HOOK,每个窗口创建的位置都不同,最后使系统蓝屏




main程序

1.随后病毒运行到main程序,附加参数为 main,当再次运行病毒程序时,这时已经运行了watchdog。

2.提升病毒进程的权限






覆盖主引导扇区
1.当程序带着参数运行时,会事先覆盖完主引导扇区的512 个字节空间后,在OD中可以看到写入的恶意代码









2.程序分两次写入内存,并写入到PhysicalDrive0中



线程分析
病毒运行时产生了很多线程,接下来分析每个线程,这些线程执行的操作都不同,但最后进入死循环中,抢占系统资源导致系统蓝屏奔溃。



线程一
运行浏览器软件,随机打开网站浏览,运行任务管理器,注册表管理器等














线程二
打开了记事本,显示提示信息







线程三
鼠标位置失控,在上图中可以看到,鼠标位置会产生很多差图标,导致鼠标不能正常使用


线程四
改变屏幕显示并且桌面上软件界面被复制

线程五
弹出“still using this computer”提示信息

线程六
界面大小改变,桌面变形

线程七
病毒运行的过程中发出声音

线程八
枚举子窗口,随对子窗口进行变形操作






线程九
插入键盘事件,对键盘进行监控

线程十
让桌面变色

解决方案
1.不要打开不知名的下载软件和邮件附件
2.如果系统还能运行,先用查杀软件查杀后,重建 MBR 引导程序
3.如果系统不能运行, 通过启动U盘运行系统,打开分区软件,选择“搜索分区”,之后点击“保存更改”,恢复被彩虹猫吞掉的所有分区,再进行引导修复,重建MBR,重启就可以进入系统,全部文件无损坏、丢失,无需重装系统、更换硬盘等。






virus.rar

17.84 KB, 下载次数: 1252, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 132吾爱币 +106 热心值 +121 收起 理由
Noslpum + 1 + 1 谢谢@Thanks!
kzc996 + 1 厉害大佬!!!!
千秋辭 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
yinchangsheng58 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
JohnsonS + 1 用心讨论,共获提升!
fscc无误 + 1 我很赞同!
小邋遢丶 + 1 + 1 谢谢@Thanks!
Mouse + 1 + 1 我很赞同!
TUming123 + 1 + 1 正好做安全实验,可以借鉴下楼主大大的分析过程
Lucas_Steven + 1 我很赞同!
M8UN + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
TBH + 1 用心讨论,共获提升!
kele0513 + 1 + 1 用心讨论,共获提升!
jn1688 + 1 + 1 用心讨论,共获提升!
wasdzjh + 1 + 1 谢谢@Thanks!
dingyx99 + 1 + 1 用心讨论,共获提升!
魅夜 + 1 + 1 我很赞同!
pshendelzare + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Nightboy + 1 + 1 用心讨论,共获提升!
安天 + 1 用心讨论,共获提升!大佬说话分析够透彻
woshiapple + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lalala17 + 1 + 1 谢谢@Thanks!
zybyxj + 1 + 1 谢谢@Thanks!
victy + 1 + 1 我很赞同!
Bluezzz + 1 只想知道为什么我的压缩文件下载后打不开,没人帮我55555
武神鬼才 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
不是周五 + 1 谢谢@Thanks!
usbn + 1 + 1 我很赞同!
bluelight037 + 1 + 1 谢谢分析,这行为看来就完全是个故意破坏的恶作剧软件的样子
qazwsxlty + 1 + 1 我很赞同!
landauchos + 1 谢谢@Thanks!
Lovehacker技术 + 1 + 1 谢谢@Thanks!
自强 + 1 + 1 谢谢@Thanks!
ZCN20201408 + 1 + 1 谢谢@Thanks!
滑稽pro + 1 谢谢@Thanks!
StrangeDS + 1 + 1 用心讨论,共获提升!
墨水_Q + 1 + 1 感谢分析讨论交流,感谢大神
sanzang + 1 + 1 我很赞同!
不谙世事的骚年 + 1 + 1 我很赞同!
深蓝5188 + 1 + 1 我很赞同!
FJFJ + 1 + 1 我很赞同!
zhangchang + 1 + 1 谢谢@Thanks!
执笔写墨白 + 1 + 1 我很赞同!
xlsheheda + 1 + 1 学习如何防止病毒。对于我这种,主要是需要知道怎么解决哈哈哈
Sacrify + 1 + 1 谢谢@Thanks!
Dangxuan + 1 用心讨论,共获提升!
膨胀的菜鸟 + 1 我很赞同!
HorkeuKamui + 1 + 1 谢谢@Thanks!
ajdfnrspwk + 1 热心回复!
learnnovo + 1 + 1 谢谢@Thanks!
dap + 1 + 1 谢谢@Thanks!
Qiao + 1 用心讨论,共获提升!
vvs + 1 大佬,为何你如此秀~!学习学习
我就是我io + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
dxmcf + 1 + 1 热心回复!
hansd + 1 + 1 这个分析做得不错,起码知道这个病毒原理
sunrui1134 + 1 + 1 热心回复!
SaltyFish233 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
tomcath + 1 + 1 我很赞同!
novays + 1 + 1 用心讨论,共获提升!
错的是世界 + 1 + 1 支持技术贴,大佬
mms123 + 1 + 1 我很赞同!
hwt1995511 + 1 用心讨论,共获提升!
20091214 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
没有鸡哪来的蛋 + 1 + 1 用心讨论,共获提升!
精妹 + 1 用心讨论,共获提升!
轻冬云 + 1 + 1 我很赞同!
wsm98409 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
liryi + 1 + 1 我很赞同!
wjs998 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
长方块 + 1 + 1 用心讨论,共获提升!
186978177 + 1 666
asojdp + 1 + 1 用心讨论,共获提升!
surfinternet28 + 1 + 1 我很赞同!
azune + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
aptsuny + 1 + 1 用心讨论,共获提升!
三滑稽甲苯 + 1 用心讨论,共获提升!
kemingyu + 1 + 1 我很赞同!
暮成雪 + 1 + 1 热心回复!
sonneay + 1 我很赞同!
chkds + 1 + 1 用心讨论,共获提升!
daniel7785 + 1 用心讨论,共获提升!
有点皮的ME + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
NKSXB + 1 我很赞同!
Mark_nnn + 1 用心讨论,共获提升!
心若逸尘 + 1 + 1 用心讨论,共获提升!
17829110132 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hgfty1 + 1 谢谢@Thanks!
luo2876019 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
N0LL + 1 + 1 谢谢@Thanks!
ryd + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
麻実薫 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
andyling123 + 1 + 1 谢谢@Thanks!
kyros + 1 + 1 谢谢@Thanks!
zsky + 1 热心回复!
MNXYPRO + 1 + 1 谢谢@Thanks!
lmjg520 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
-Atlantis- + 1 + 1 用心讨论,共获提升!
悔创阿里杰克马 + 1 + 1 用心讨论,共获提升!
zyzand + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

雪莱鸟
推荐
雪莱鸟 发表于 2020-1-30 21:01
麻烦分析一下“新肺炎”病毒,把它干掉,咱就能愉快的上班了。

免费评分

参与人数 8吾爱币 +10 热心值 +6 收起 理由
晴飔 + 1 + 1 我很赞同!
liuran001 + 1 + 1 我很赞同!
麻雀飞过 + 1 我很赞同!
cd. + 1 + 1 我很赞同!
温柔的一哥 + 1 + 1 你需要一个内科医生,但是不能干掉病毒会中毒
陈独锈 + 1 我很赞同!
slink0 + 1 + 1 快抓住,别让跑了,要隔离
KaQqi + 3 + 1 你为什么这么优秀

查看全部评分

【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 36

举报

绫织梦
推荐
绫织梦 发表于 2020-1-30 16:58
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
B站一群小学生玩这个病毒…各种彩虹猫大战各种杀软…毫无技术含量……
甚至有人说“只要那个记事本不弹出来,MBR就不会被感染”,我都惊了…
当然楼主分析的很棒很详细,加油,期待你的下一个分析帖子。
如何升级?如何获得积分?积分对应解释说明!
回复 支持 25

举报

semiuel
推荐
semiuel 发表于 2020-1-30 13:16
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
虽然我什么都没看懂,但只看这么多花花绿绿的图片就知道很厉害。
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持 12

举报

你好港屿
推荐
你好港屿 发表于 2020-1-30 17:42
我家的电脑可能都运行不起这个病毒
如何快速判断一个文件是否为病毒!
回复 支持 5

举报

往事念旧
推荐
往事念旧 发表于 2020-1-30 20:59
大佬牛逼
回复 支持 1

举报

mercsexy
推荐
mercsexy 发表于 2020-1-30 12:32
厉害了大佬
回复 支持 0

举报

菜鸟小白
4#
菜鸟小白 发表于 2020-1-30 12:38
火钳刘明
回复 支持

举报

bobowxc
5#
bobowxc 发表于 2020-1-30 13:18
感谢大佬详细分享
回复 支持

举报

韬.
6#
韬. 发表于 2020-1-30 13:20
厉害大佬
回复 支持

举报

桂花糕乀
7#
桂花糕乀 发表于 2020-1-30 14:51
大佬,那个是完整病毒样本不,虚拟机里面运行,貌似卡住了……
回复 支持

举报

aa4763197
8#
aa4763197 发表于 2020-1-30 14:54
学习大佬。
回复 支持

举报

JuncoJet
9#
JuncoJet 发表于 2020-1-30 15:50
MBR驱动声卡发出声音?好像有点难度把
好奇彩虹猫的声音怎么发出来的

点评

苏紫方璇
应该是用的蜂鸣器,github上好像有源码  详情 回复 发表于 2020-1-30 21:54

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
Mr_Guan + 1 + 1 我很赞同!

查看全部评分

回复 支持

举报

buzhifou01
10#
 楼主| buzhifou01 发表于 2020-1-30 16:45 |楼主
JuncoJet 发表于 2020-1-30 15:50
MBR驱动声卡发出声音?好像有点难度把
好奇彩虹猫的声音怎么发出来的

病毒程序里面调用了声音媒体相关的函数,包括WaveOutOpen、waveoutprepareHeader,waveoutWriter等
回复 支持

举报

下一页 »
12345678910... 29下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-5-7 11:01

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表