记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

利用新型冠状病毒疫情的恶意软件分析

2020-04-03 09:58

SonicWall Capture研究人员发现一款恶意软件利用CoViD19疫情,通过覆写MBR(主引导记录)文件使得受影响用户的硬盘不可用。

感染链

恶意软件执行后,会在临时文件夹中释放一些帮助文件:

其中一个helper文件名为coronavirus.bat,将自己识别为coronovirus Installer,负责执行大多数的设置安装工作。恶意软件会创建一个名为COVID-19的文件夹,并将之前释放的helper文件都移动过来。为了不被受害者发现,COVID-19文件夹是隐藏的。然后会禁用Windows任务管理器、UAC控制等,并且在修改了用户的当前墙纸后会禁止增加或修改墙纸。恶意软件还会在注册表中添加新的记录来实现驻留。

Coronavirus.bat

受害者会被通知安装和重启系统。

run.exe会创建一个明文run.bat的批处理文件来确保coronavirus.bat文件对注册表的修改在mainWindow.exe执行后不会变化。

MainWindow.exe执行后会显示一个具有2个按钮的窗口,展示的是CoVID-19病毒的结构。

其中一个名为Remove virus(移除病毒)的按钮没有什么作用。点击HELP按钮后,会展示下面的图片:

Update.VBS脚本文件的唯一功能是展示下面的消息窗口:

在系统重启后会有另外一个二进制文件开始执行,作用是覆写MBR文件。

原始的MBR文件会在被新文件覆写前会在一个区域备份。

用新代码覆写MBR:

在硬盘的第二个区域会复制下面的消息:

MBR和新代码:

最后,受害者会根据bootstrap代码展示如下信息:

本文翻译自:https://securitynews.sonicwall.com/xmlpost/coronavirus-trojan-overwriting-the-mbr/如若转载,请注明原文地址

知识来源: https://www.4hou.com/posts/N5P6

阅读:26960 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“利用新型冠状病毒疫情的恶意软件分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词