128期报告汇总
安天发布《勒索锁机木马 MBRLock 分析报告》
近日,安天 CERT(安全研究与应 急处理中心)在梳理网络安全事件时发 现一例 Windows 平台的具有锁机功能的 木马样本。该木马会绕过 360 监控,结 束 360 实时监控程序,替换主引导扇区 数据,并使系统重启。系统重启后,会 显示勒索信息“yao mi ma gei 30 yuan jia qq2055965068”等待用户输入密码。
该样本启动后,首先安装各种钩子, 拦截 Windows 消息,用户双击运行软件后 会跳转到恶意代码的位置执行恶意代码。 该样本根据不同的控制指令执行不同的操 作。样本在编写时就已经在函数调用时确 定了控制指令,在实际运行时不需要人为 进行指令控制。其中指令 0x7d8 执行勒索软件的关键代码,指令 0.x7e8 分配内存用 于存储勒索信息。该样本会将 360 相关的 注册表值设置为 0,从而绕过 360 监控。 该样本利用控制指令分配内存,将勒索语 句和密码 ssssss 存储到内存中。该样本会 将原主引导扇区的数据存储到第三扇区, 将勒索信息写入主引导扇区,系统重启后 便会读取主引导扇区的数据,然后显示勒 索语句,等待用户输入正确的密码从而进 入系统。该样本将自身复制到 C:\Program Files\System.dll,对样本文件进行多次读 取、写入,删除样本文件的原数据。在 C:\Program Files\ 目录下创建 360.dll 文件, 360.dll 文件是白文件,用来迷惑用户,掩 饰 System.dll。 最 后 该 样 本 会 调 用 taskill.exe 结 束 360 实 时 监 控 程 序 360tray.exe, 然后重启系统。
安天 CERT 提醒广大网络使用者, 要提高网络安全意识,在日常工作中要及 时进行系统更新和漏洞修复,不要随意下 载非正版的应用软件、非官方游戏、注册 机等。收发邮件时要确认收发来源是否可 靠,更加不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。目前,安天追影产品已经实现了 对该类恶意代码的检出。
