38期报告汇总
安天发布《修改MBR的敲诈者木马来袭》报告
近期,敲诈勒索病毒的传播呈现出上升趋势,随着勒索得逞的案例越来越多,很多造马者开始使用不同的方法制作该类病毒。2016年3月底,几家国外安全厂商先后发布了“修改MBR、加密整个硬盘的勒索软件Petya”的报告,值得关注的是,近期国内也出现了一款通过修改MBR来实现勒索的病毒软件,安天追影小组查询相关论坛后发现,该病毒的作者目前并没有进行敲诈,而且主动公开了密码,可能只是为了炫耀技术。以下为追影小组具体分析。
行为分析
该病毒运行后后,屏幕如下图所示,文字不停的闪烁并伴有动画效果与音乐,重启后显示文字“mimalianxiqq
268****!!”提示输入密码。用户只有输入正确的密码,才可以正常启动系统。
样本行为如下:
1、运行后直接获取\\.\PhysicalDrive0的句柄,从第1扇区(偏移为0x0)读取大小为200字节的内容写入到第3扇区(偏移为0x400)中。其目的应该在输入正确密码后,重新恢复原有第1扇区的信息。
2、在第1扇区(偏移为0x0)中写入大小为200字节的MBR敲诈信息(即重启后的开机界面,需要输入正确的密码才能恢复第1扇区)。
3、在创建输入密码界面的时候,则会不停的遍历进程比对来实现结束掉任务管理器进程taskmgr.exe,主要是为了守护样本进程,防止其被任务管理器结束掉。
总结
近期国内出现的勒索软件很多都以中文为提示语言,QQ为联系方式,以此可以推测,一些勒索软件是国内的造马者制作或修改他人代码形成的。安天追影小组提醒广大用户加强安全意识,通过官方网站下载正版软件,不要随意打开陌生链接运行不明的应用程序,同时,安天也会持续关注追踪勒索软件的发展态势。