0898-88888888
您的当前位置: 首页 > 知识博客 > 用户体验

【欧洲杯竞猜app】伪装QQ飞车外挂的“MBR锁”木马分析

时间:2021-11-15

本文摘要:前言是年底开始工作的时候,黑产业者也回到了工作岗位,仅仅一周内,纵情敲诈者和伪装成QQ飞车插件的MBR敲诈者的国产敲诈者木马就越来越激烈。

前言是年底开始工作的时候,黑产业者也回到了工作岗位,仅仅一周内,纵情敲诈者和伪装成QQ飞车插件的MBR敲诈者的国产敲诈者木马就越来越激烈。国产敲诈师与欺诈金额、技术手段和加密方式相比,领先海外敲诈师木马,但国产敲诈师的优点仅次于掌握卖点,如以游戏插件为噱头。此外,国产敲诈师讨厌诱导用户重新开始杀戮,超越所谓的最佳体验。

欧洲杯竞猜app

国产敲诈师可以说赢得了道路。本文分析的国产敲诈师是伪造QQ飞车插件的MBR敲诈师。据受害者介绍,为了使用这个QQ飞车插件,必须输出注册代码,向某群管理者索取注册代码并输出注册后,计算机立即被锁定,拒绝向QQ号码(3489709452)提供水平密码。

受害者电脑如下图右图所示。图1可以看到受害者的计算机界面,计算机长时间没有启动,受害者遇到的是罕见的MBR锁定。样本分析回到最初的QQ飞车插件,插件接口很少见,必须输出注册代码才能长期使用。

图2插件接口仔细观察插件接口,发现与某盾密码处理后的程序接口相似,反复字符串也能找到与某盾密码相关的字符串。因此,可以推断该插件用于某个屏蔽加密维护,使用者只需输出正确的注册代码即可获得适当的功能。

欧洲杯竞猜app

由于盾加密强度低,在没有人密码的情况下很难向受保护的软件展开密码,插件用户必须向管理者打开密码。渴望插件使用的受害者们得到密码一定很高兴,他们不告诉开放后是噩梦的开始。之前提到过某盾加密在不持有人密码的情况下很难对受保护的软件开展密码,提到在不持有人密码的情况下,是因为即使在享有密码的情况下,某盾加密的维护也很相似。

在这个例子中,过程不会在同一目录下创建一个名为飞车通杀辅助VIP2.exe的程序,并调用ShellExecute函数来操作该程序。图3运营飞车通杀辅助VIP2.exe,但实质上,在磁盘中,也就是说,该路线下并不存在该文件。这也是某盾加密为了避免加密视频播放时被提取而采取的战略。某盾加密不调用自己的SDK命名为CreateVirtualFileA的函数,不需要在内存中创建文件,而是在内存中创建文件。

这只是为了增加分析的可玩性,分析家必须对程序展开patch,使创建的文件落地。patch的方向是CreateVirtualFileA函数。根据盾加密逻辑,程序不会首先调用CreateVirtualFileA函数创建虚拟世界文件,然后用于WriteFile函数将解密的数据载入文件中。

欧洲杯竞猜app

CreateFile函数patch可以丢弃CreateVirtualFileA,使文件落地。如图所示。

图4patch前图6落地的恶意程序也是定制程序,作者只是将定制模块集中包含敲诈者木马。可以从字符串中显示,定制者可以定制MBR加密的密码,显示在屏幕上的文字。图7应定制定制的字符串后,通常锁定MBR流程,关闭磁盘0,加载前512字节,即主要领先记录。

欧洲杯竞猜app

图8关闭磁盘0图9加载主领导记录后,程序不会将原主领导代码保留在磁盘0位移0x400连接的方向,该方向是磁盘0的第三个区域。作为备份初期的MBR代码,受害者输出正确的密码后,备份的MBR代码不会完全恢复到最初的区域,系统需要长时间启动。图10设置位移图11备份最初的MBR代码后,程序不会改变主领导记录,改变后的主领导记录如下图所示。

图12伪造的MBR代码反汇编MBR代码可以看到密码比较的流程和之后的处理流程。首先,通过int16h中断提供用户输出,并存储输出结果。图13提供并存储输出图14。

通过查阅输出和密码存储在密码中的地址,您可以找到密码为OO0(即空格、大写o、数字0和空格)。检查顺利后,将通过intt13h中断在第三区保存的原始MBR代码,并将其载入第一区,以完全恢复系统的长时间。图15完全恢复MBR的总结可以通过这个样本表现出来,国产敲诈师在技术上并不高深,习惯于收集各种软件和模块,超越故意的目的。

这些模块相互独立的国家,功能受到限制,但通过人群成为功能强大、自保能力强的恶意软件。这些国产敲诈师也牢牢逃脱了特定用户的注意力,戴着插件外套的坏事,手忙脚乱。

对于陌生的软件,用户必须勤奋,中毒后也不能只加qq交付赎金。必须杀死硬方面,及时开展系统,完全恢复系统。360安全卫士独家推出反勒索服务,用户在安装360安全卫士并打开该服务的情况下,如果无法防止各种敲诈者病毒,360负责管理为用户支付赎金。原始文章允许禁止发布。

下一篇文章发表了注意事项。


本文关键词:欧洲杯竞猜app

本文来源:欧洲杯竞猜app-www.antocool.com

关于我们
客户案例
知识博客
新闻动态
联系我们

电话:

0898-88888888

Copyright © 2003-2021 www.antocool.com. 欧冠竞猜app科技 版权所有备案号:ICP备57164601号-1