当前位置:首页 > 科技创新 > 重点技术 >

伪装QQ飞车外挂的“MBR锁”木马分析:lol外围官网

编辑:lol总决赛下注 来源:lol总决赛下注 创发布时间:2021-03-25阅读54052次
  

序言说,年底结束开工之际,黑山从业者也回到了他们的工作岗位,短短一周内,两名伪装成“沉迷”勒索者和QQ速度插件的“MBR”勒索者接连加剧了国产勒索者木马。(威廉莎士比亚,Northern Exposure(美国电视连续剧),)国产勒索者在欺诈金额、技术手段和加密方式方面领先于外国勒索者木马,但国产勒索者的第二个优势是可以抓住卖点,例如欺骗游戏插件。(约翰肯尼迪,Northern Exposure(美国电视),成功)此外,国产勒索者为了超越所谓的“最佳体验”,讨厌诱导用户再次杀人。国产勒索者可以说比“日常”要好。

本文分析的国产勒索者是伪造QQ卢克的“MBR”勒索者。据受害者透露,使用该QQ速度插头软件需要输出注册码,并向一组管理员请求注册码,然后输出注册后,计算机立即被锁定,被追加拒绝,号码为1 QQ(348970945首页2)。受害者电脑在下图右边。

lol投注首页

图1受害者的电脑界面显示,电脑没有启动很久,受害者撞上了罕见的“MBR”锁。样本分析返回原来的QQ速度插件。插件界面很少见,必须输出注册码才能使用很长时间。

图2插件界面详细查看插件界面,类似于盾牌加密处理后的程序界面,重复字符串可以找到与盾牌加密相关的字符串。因此,可以推测插件软件用于盾牌加密维护,用户必须输出正确的注册码才能获得相应的功能。由于盾牌的加密强度低,不保留持有人的密码,很难在受保护的软件上放置密码,插件用户有时需要向管理员打开密码。

迫切需要插件的受害者应该为获得开放代码而欣喜若狂。他们不会说打开才是噩梦的开始。(威廉莎士比亚、哈姆雷特、希望)前面提到的一个盾牌加密“在没有持有人密码的情况下,很难对受保护的软件展开密码”,并提到“没有持有人密码的情况下”。

这是因为即使在享受密码的情况下,一个盾牌加密也比较类似于程序维护。在这种情况下,该过程不会在同一个目录中创建名为“快速秒杀辅助VIP2.exe”的程序,而是调用ShellExecute函数来运行程序。图3运行的是“车辆通杀辅助VIP2.exe”,但实质上该文件不存在于磁盘上。

这也是一个盾牌加密的战略,以避免在播放加密视频时被提取。盾牌加密在本身的SDK中不调用名为“CreateVirtualFileA”的函数,而是将文件定位为“CreateVirtualFileA”函数。根据盾牌加密逻辑,程序首先调用“CreateVirtualFileA”函数创建虚拟世界文件,然后使用WriteFile函数将解密的数据加载到文件中。

如果在CreateFile函数patch中忽略“CreateVirtualFileA”,文件将落地。如图所示。图4 patch前面的图6“落地”恶意程序也是作者结合一些自定义模块,显示包括勒索者木马的自定义程序。

平台|官网

在(威廉莎士比亚、特洛伊、特洛伊、特洛伊、特洛伊、特洛伊、特洛伊、特洛伊、特洛伊)字符串中,用户定义者可以自定义MBR加密密码和屏幕上显示的字符。图7响应在用户定义可自定义的字符串后,关闭典型的MBR锁定进程、磁盘0,并加载前512字节,即主读取器记录。

关闭图8磁盘0图9并加载主引线记录后,程序不将原始主引线代码保持在磁盘0位移0x400的下一个方向。此方向是磁盘0的第三个扇区。这将用作备份初始MBR代码,如果受害者输出正确的密码,备份的MBR代码将无法完全恢复到第一个扇区,因此系统需要很长时间才能启动。

lol投注首页

图10位移图11备份初始MBR代码后,程序不更改主引线记录,更改的主引线记录如下图右图所示。 图12伪造的MBR代码拆卸MBR代码可以看到密码比较多的过程和以后的废弃过程。

首先,通过int 16h中断提供用户输出并保存输出。图13提供并存储输出图14比较输出和密码。查看密码中存储的地址,可以找到“O0”(空格、大写字母O、数字0、空格)密码。

验证成功完成后,通过int 13h中断加载存储在第3个扇区中的初始MBR代码,并加载到第1个扇区中,完全恢复系统需要很长时间。图15完整的恢复MBR摘要通过该样本可以看出,国产勒索者习惯于组合各种软件或模块,以超越技术上不深和有意的目的。

这些模块相互独立,功能有限,但经过人造,沦为了强大、自我保护能力强的恶意软件。这些国产勒索者也坚定地逃离了特定用户的注意力,戴着外衣蜡的这件坏事不知所措。(威廉莎士比亚、斯图尔特、Steware)对于不熟悉的软件,用户必须勤奋工作,中毒后不能添加QQ支付赎金,必须杀死硬侧,及时启动系统,完全恢复系统。

(大卫亚设,Northern Exposure(美国电视),)360安全卫士独家发行“反勒索服务”,如果用户设置360安全卫士并打开服务,无法阻止各种勒索者病毒,360将管理为用户支付赎金。原创文章,发布许可禁令。下面,我们来听一下关于刊登的注意事项。

本文来源:lol总决赛下注-www.kaseyatint.com

056-803205453

联系我们

Copyright © 2010-2014 上海市lol总决赛下注股份有限公司 版权所有  沪ICP备30026914号-7