利用新型冠状病毒疫情的恶意软件分析
2020-04-03 10:40:00 Author: www.4hou.com(查看原文) 阅读量:207 收藏

SonicWall Capture研究人员发现一款恶意软件利用CoViD19疫情,通过覆写MBR(主引导记录)文件使得受影响用户的硬盘不可用。

感染链

恶意软件执行后,会在临时文件夹中释放一些帮助文件:

其中一个helper文件名为coronavirus.bat,将自己识别为coronovirus Installer,负责执行大多数的设置安装工作。恶意软件会创建一个名为COVID-19的文件夹,并将之前释放的helper文件都移动过来。为了不被受害者发现,COVID-19文件夹是隐藏的。然后会禁用Windows任务管理器、UAC控制等,并且在修改了用户的当前墙纸后会禁止增加或修改墙纸。恶意软件还会在注册表中添加新的记录来实现驻留。

Coronavirus.bat

受害者会被通知安装和重启系统。

run.exe会创建一个明文run.bat的批处理文件来确保coronavirus.bat文件对注册表的修改在mainWindow.exe执行后不会变化。

MainWindow.exe执行后会显示一个具有2个按钮的窗口,展示的是CoVID-19病毒的结构。

其中一个名为Remove virus(移除病毒)的按钮没有什么作用。点击HELP按钮后,会展示下面的图片:

Update.VBS脚本文件的唯一功能是展示下面的消息窗口:

在系统重启后会有另外一个二进制文件开始执行,作用是覆写MBR文件。

原始的MBR文件会在被新文件覆写前会在一个区域备份。

用新代码覆写MBR:

在硬盘的第二个区域会复制下面的消息:

MBR和新代码:

最后,受害者会根据bootstrap代码展示如下信息:

本文翻译自:https://securitynews.sonicwall.com/xmlpost/coronavirus-trojan-overwriting-the-mbr/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/N5P6
如有侵权请联系:admin#unsafe.sh