资讯
主页 > 技术文章 > 正文

MBR敲诈者木马分析报告

发表时间:2016-08-30

背景

愚人节当天,接到一个“好友”发来的文件,打开之后,电脑就被锁了。原本以为只是愚人节的小玩笑,所谓的“好友”竟伸手要钱!

腾讯反病毒实验室接到一用户反馈,自己先从社交通讯录“好友”处接收到所谓的愚人节文件,打开文件后,电脑忽然被锁定,还弹出恐吓文字要求联系qq 268183***按什么键也没有反应,重启机器后也无法进入正常登录界面。用户根据提示联系上对方索要开机密码,却反被勒索钱财在该用户协助下管家的安全技术人员最终找到并破解了该敲诈木马。

 

(电脑忽然被锁定)

 

(电脑重启后界面)

 

MBR敲诈者木马分析:

样本基本信息:

病毒名:Win32.Trojan.Mbrlocker.Zvst

病毒类型:敲诈者木马

文件大小:9,748,480字节

一、基本原理

MBR即主引导记录(Master Boot Record),通过它电脑才能正常引导进入操作系统,对电脑启动至关重要。MBR木马通常都是通过向文件\\.\\physicaldrive0读取系统正常MBR并备份,再写入木马的MBR替换系统MBR,导致不能开机。分析,该用户电脑正是中了MBR木马的埋伏。

1、打开\\.\\physicaldrive0

  

2、读取引导扇区的内容

 

3、把读取的系统正常MBR备份到磁盘第3个扇区

 

4、修改系统引导扇区,写入木马MBR

 

二、提取木马MBR进行分析

由于MBR最大只有512字节大小的限制,所以木马MBR代码量不大,比较简单。首先在屏幕显示文字“mima lianxi qq 2681836***”。

 

接着等待输入,并存储输入的信息,当按下回车后判断密码是否正确

 

判断输入的字符是否与0000:7cda的密码一致。

 

从这里,可以得出正确的开机密码是 jiesuo26818*****

 

输入正确密码后,就把存储在第3扇区的系统正常MBR写回到第1个扇区。这样MBR就恢复正常了。

 

重启后电脑就正常进入系统

 

后记

经过分析后,电脑管家的技术人员成功为用户电脑解锁。在此,管家也提醒大家要注意识别所谓“好友”,不要轻易接收并打开陌生人发来的文件,并安装杀毒软件,才能保证电脑的安全。

 

资讯排行