伪装QQ飞车外挂的“MBR锁”木马分析
来源:互联网 发布:java类加载器有哪些 编辑:程序博客网 时间:2024/06/02 16:27
0×1 前言
在过完年开工之际,黑产从业者也回到了他们的工作岗位上,在短短的一周内,相继爆发了“纵情”敲诈者以及伪装QQ飞车外挂的“MBR”敲诈者两款国产敲诈者木马。
国产敲诈者在敲诈金额,技术手段以及加密方式上都远远落后于国外的敲诈者木马,但国产敲诈者的最大优点就是能把握住卖点,比如以游戏外挂作为噱头。除此之外,国产敲诈者还喜欢诱导用户关闭杀软以达到所谓的“最佳体验”。可以说,国产敲诈者胜在了“套路”。
本文分析的国产敲诈者即为伪造QQ飞车外挂的“MBR”敲诈者。据受害者称,想使用该QQ飞车外挂软件就必须输入注册码,在向某群管理员索取注册码并输入注册后,计算机立即并被锁住,要求添加一QQ号(3489709452)获取解锁密码。受害计算机如下图所示。
图1 受害计算机界面
可见,计算机并未正常启动,受害者遭遇的就是常见的“MBR”锁。
0×2 样本分析
回到最初的QQ飞车外挂,外挂界面很常见,需要输入注册码才能正常使用。
图2 外挂界面
细观该外挂界面,发现其和某盾加密处理后的程序界面相似,遍历字符串也能发现一些与某盾加密相关的字符串。因此可以断定该外挂软件使用某盾加密保护,使用者只有输入正确的注册码才能获得相应的功能。由于某盾加密强度高,在不持有密码的情况下很难对受保护的软件进行破解,这也导致外挂使用者需要找管理员要开启密码的情况。急切渴望使用外挂的受害者们在得到开启密码一定是欣喜若狂的,他们一定不知道开启后才是噩梦的开始。
前面提到了某盾加密“在不持有密码的情况下很难对受保护的软件进行破解”,之所以提及“不持有密码的情况下”,是因为即使在拥有密码的情况下,某盾加密对程序的保护也比较特殊。在本例中,进程会在同目录下创建一个名为“飞车通杀辅助VIP2.exe”的程序,并调用ShellExecute函数运行该程序。
图3 运行“飞车通杀辅助VIP2.exe”
但实际上,在磁盘中,也就是该路径下并不存在这个文件。这也是某盾加密为了防止加密视频播放时被提取而采取的策略。某盾加密会调用自身SDK中名为“CreateVirtualFileA”的函数在内存中创建文件,而不是直接让文件“落地”,这其实也稍微加大了分析的难度,分析者必须对程序进行patch以使创建的文件“落地”。
patch的位置即“CreateVirtualFileA”函数。根据某盾加密逻辑,程序会首先调用“CreateVirtualFileA”函数创建虚拟文件,然后使用WriteFile函数将解密后的数据写入文件。使用CreateFile函数patch掉“CreateVirtualFileA”可使文件落地。如图所示。
图4 patch前
图5 patch后
对程序进行patch后,执行MBR修改功能的敲诈者主体就“落地”了。
图6 “落地”的恶意程序
该程序也是一款定制的程序,可以看出作者只是将一些定制的模块拼接起来构成一个敲诈者木马。从字符串中可以看出,定制者可以自定义MBR加密的密码以及显示在屏幕上的文字。
图7 表示可以自定义定制的字符串
之后就是常规的锁MBR流程,打开磁盘0并读取前512字节,也就是主引导记录。
图8 打开磁盘0
图9 读取主引导记录
之后程序会将原本的主引导代码保存到磁盘0偏移0×400起始的位置,该位置是磁盘0的第三扇区。此举用于备份初始的MBR代码,当受害者输入正确的密码之后,就会将备份的MBR代码恢复到第一扇区中,以保证系统能够正常启动。
图10 设置偏移
图11 备份最初的MBR代码
之后程序就会修改主引导记录,修改后的主引导记录如下图所示。
图12 被篡改的MBR代码
反汇编MBR代码可以看到密码比较的流程以及之后的处理流程。首先通过int 16h中断获取用户输入,并将存储输入结果。
图13 获取并存储输入
图14 比较输入与密码
通过查看存放密码的地址可以发现密码为“ O0 ” (即空格,大写字母O,数字0,空格)。在比对成功之后,将通过int 13h中断读取存储在第3扇区的最初的MBR代码并将其写入到第1扇区,以恢复系统的正常使用。
图15 恢复MBR
0×3 总结
通过该样本可以看出,国产敲诈者在技术上并不高深,而且习惯于拼接各种软件或模块,以达到其恶意目的。这些模块虽然互相独立且功能有限,但经过组合之后成为一个功能强大且自保能力强的恶意软件。而这些国产敲诈者也牢牢抓住一些特定用户的注意力,披着外挂的外衣干这坏事,让人措手不及。对于陌生的软件,用户应该慎点,在中毒后也被轻易添加qq交付赎金,应向杀软方面进行及时的反馈以恢复系统的使用。
*本文作者:360安全卫士(企业帐号),转载请注明来自FreeBuf.COM
- 上一篇:Python与Java曝漏洞,黑客利用FTP注入攻击可绕过防火墙
- 下一篇:本篇已是最新文章
已有 14 条评论
- 360安全卫士 2017-02-24回复1楼
“MBR锁”是新近出现的一类国产敲诈者病毒。它的技术并不高超,只是拼接各种现成的软件或模块,但它会伪装外挂迷惑用户关闭安全软件,反而比国外敲诈者更有杀伤力。360安全卫士率先发现并拦截“MBR锁”病毒,请用户不要冒险使用此类带毒外挂!
亮了(6) - He1en 2017-02-24回复2楼
我记得吾爱有篇文章和这差不多 用的方法也一样一样的 这样没意思
http://www.52pojie.cn/thread-580529-1-1.html亮了(3) - 。。。 2017-02-24回复3楼
应向杀软方面进行及时的反馈以恢复系统的使用。。。。。
亮了(4) - Tesi1a 2017-02-24回复4楼
广告打得好[喵喵]
亮了(5) - 長門有希Nagatoyuki 2017-02-24回复5楼
用挂活该咯,破坏其他玩家游戏体验。
亮了(4) - 摩羯_狼 2017-02-24回复6楼
厉害了……
亮了(4) - 左天官 2017-02-24回复7楼
飞车刚被点了哈哈哈 “MBR锁”是新近出现的一类国产敲诈者病毒。它的技术并不高超,只是拼接各种现成的软件或模块,但它会伪装外挂迷惑用户关闭安全软件,反而比国外敲诈者更有杀伤力。360安全卫士率先发现并拦截“MBR锁”病毒,请用户不要冒险使用此类带毒外挂!
亮了(3) - Naomhan 2017-02-24回复8楼
飞天 锁人
亮了(4) - 不存在的 2017-02-25回复9楼
难怪易语言这么毒瘤,毕竟有这么多国内病毒木马都用它写的
亮了(3) - 春宝 2017-02-25回复10楼
能从玩这游戏的人里勒索到啥?[摊手]
亮了(0) - 联邦屌插菊 2017-02-25回复12楼
中国勒索软件在怎么6,始终联系方式会留下QQ小号,抓你很容易,国外老司机联系方式是暗网根比特币支付,很难抓,中国始终小学生还是多
亮了(1) - aa 2017-02-25回复13楼
trojian-orinted programming -E language
亮了(0)
- 伪装QQ飞车外挂的“MBR锁”木马分析
- 伪装QQ飞车外挂的“MBR锁”木马分析
- 一个QQ木马的分析
- 木马采用的伪装方法
- QQ飞车
- QQ飞车
- QQ飞车
- 研究分析QQ木马的原理
- 【木马分析】远控盗号木马伪装成850Game作恶
- 【木马分析】远控盗号木马伪装成850Game作恶
- QQ冲击波木马分析。。
- 让Google伪装你的木马地址
- 伪装植入木马的常见方法
- 分析QQ网页密码加密的方法,开发QQ外挂开心农场外挂
- 木马分析:伪装成右键点击无“删除”选项的IE图标
- QQ飞车奖励列表
- 一个挺好玩的FLASH游戏 -- QQ飞车!
- win2K的MBR分析
- 论文推荐 Spark
- 安卓EditText-实现输入小数点后几位的逻辑演变
- 密度聚类算法(三)
- Unity Shader中法线变换
- # 机器学习笔记2——参数学习、非参数学习、局部加权线性回归、线性回归的概率解释、logistics回归
- 伪装QQ飞车外挂的“MBR锁”木马分析
- LINUX初学
- 嵌入式linux之Uboot和系统移植--基础
- 排序之快速排序
- java线程池
- [PC样本分析] 对于PC硬盘逻辑锁的简单分析
- 当你输入在浏览器输入网址发生了什么
- 367. Valid Perfect Square
- 2016蓝桥杯第二题答案
这些评论亮了