吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 38701|回复: 79
上一主题 下一主题
收起左侧

[PC样本分析] 卡饭MBR样本分析(纯破坏病毒)

  [复制链接]
跳转到指定楼层
楼主
willJ 发表于 2013-3-14 20:32 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 willJ 于 2013-3-14 20:34 编辑

好久没有去卡饭逛了,昨天去样本区看见一个很火的帖子,号称中国木马领先全球,于是下载下来看看,顿时觉得上当了,应该算是一个玩笑程序,不过破坏力挺大的,这里和大家分享下。
基本信息
  报告名称:卡饭MBR样本分析
  作者:willJ
  样本类型:MBR感染
  样本文件大小:36864 字节 ( 36.000 KB,0.035 MB )
  样本MD5:955b66c722ca993dd11fbe56bbf92525
  壳信息:无壳

简介

该样本是一个修改MBR的玩笑病毒。

被感染的系统症状
感染该样本后,重启电脑电脑将无法正常启动,只会显示一窜字符串。

文件系统变化
修改MBR

注册表变化

网络症状



详细分析/功能介绍
1.利用OpenProcessToken,LookupPrivilegeValueA,AdjustTokenPrivileges提升自身权限,为后面对MBR操作做准备。
2.打开MBR所在的物理驱动器。
3.向MBR写入0x200数据(512字节)
写入的数据为,现在应该可以猜测等会儿出现的效果了,屏幕显示I am virus! Fuck you :-)
利用Winhex提取出感染后的MBR
1.工具-打开磁盘
2.选择物理磁盘
3.选择前512字节,右键-选择-复制选块-置入新文件
重启后的效果
分析感染后的MBR
1.载入IDA,选择loading offset为0x7c00,因为BIOS将MBR就读取到内存的0x7c00处执行
2.ALT+S选择16位的方式分析
3.利用快捷键AC调整代码,调整后下图,核心功能就是利用int 10h中断显示字符串。

预防和修复
预防
最好备份一份自己的原始MBR,以便MBR遭到摧毁时候可以方便的恢复。
修复
利用WIN PE进入系统,开始-程序-磁盘光盘工具-PTDD磁盘分区表医生
选择自动重建分区表,可以发现已经可以识别磁盘分区了,重启下就可以正常进入系统了


总结
这个帖子应该是一个标题党,但是此样本确实具备比较大的破坏力,如果用户不小心运行了那就悲剧了,修复也比较麻烦,修复得不好可能数据就没有了,大家没事可以备份下自己带你你的MBR,以便MBR遭到摧毁的时候可以恢复。
根据这个程序逆向的代码以及显示很像Ghost代码里扣出来的,功能单一,破坏力巨大。
样本: mbr.rar (10.72 KB, 下载次数: 822)
密码:52pojie
小心运行!!!



免费评分

参与人数 3热心值 +3 收起 理由
KaQqi + 1 已答复!
蓝洛水深 + 1 学习到 了!讲的很不错
271234004 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
hiddes 发表于 2014-7-1 16:26
willJ 发表于 2014-7-1 09:30
是的,直接用winhex可以读取出来

ida加载的时候直接用二进制模式就可以看到他的代码了哈,谢谢!
推荐
 楼主| willJ 发表于 2014-7-1 09:30 |楼主
hiddes 发表于 2014-6-30 16:25
意思是,直接吧那段数据单独拿出来分析么?

是的,直接用winhex可以读取出来
沙发
Victory.ms 发表于 2013-3-14 20:47
gh0st3.6源码里面就有一个硬盘锁,估计是那个MBR类型的
3#
shaokui123 发表于 2013-3-14 20:49
360查杀吧
头像被屏蔽
4#
451290583 发表于 2013-3-14 21:05
会不会在虚拟机运行把物理机给的硬盘给感染了?
5#
okman110 发表于 2013-3-14 21:18
膜拜牛牛~呵呵~
6#
 楼主| willJ 发表于 2013-3-14 21:23 |楼主
451290583 发表于 2013-3-14 21:05
会不会在虚拟机运行把物理机给的硬盘给感染了?

不会的
7#
wawqwqq 发表于 2013-3-15 02:06
记得当初有款远控  还在流行改版权的时代  那款远控一改版权  就出现这个情况 名字叫什么忘了
8#
xiaomeng525 发表于 2013-3-15 14:06
学习学习,看起来挺强大的,我下载下来分析下!
9#
不是漏洞 发表于 2013-3-17 00:15 来自手机
又是改mbr的......
如果我没记错的话x山x60现在都有保护mbr的功能了......
比如......onekey ghost建立开机热键时就回提示修改mbr......
自从鬼影泛滥后杀软厂商都学聪明了=w=
10#
yeshang 发表于 2013-3-18 21:05
自己 下载试试
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 16:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表