🖐 Приветствую всех читателей Codeby.net 🖐
Многие знают мем Nyan Cat. Также многие знают, насколько опасны компьютерные вирусы. А теперь представьте что будет, если их соединить вместе. Получится вирус MEMZ. Он был создан специально для видеоблогера danooct1 от его подписчика Leurak. На данный момент времени всего насчитывается 4 версии MEMZ. В четвёртой версии было добавлено два предупреждения перед запуском.
Давайте изучим его!
Ссылка скрыта от гостей
Пароль:
Codeby.netПлан действий:
- Посмотрим как он ведёт себя в привычной среде обитания.
- Проведём статический анализ.
- И не забудем про динамический анализ.
- Соберём всю полученную информацию вместе.
Изучаем поведение MEMZ.
MEMZ комфортно чувствует себя в Windows XP. Поведение этого вируса уже было заснято другими людьми. Предлагаю вам взглянуть.
Windows 10:
Windows XP:
Теперь мы можем составить последовательность действий этого вируса.
I
Открывается браузер по умолчанию, а в них такие поисковые запросы.
II
Открываются некоторые стандартные программы:
cmd.exe
calc.exe
notepad.exe
и другие
III
Появляются звуки ошибки и восклицания.
IV
Цвета меняются на противоположные.
V
Появляются окна с заголовком "lol" и текстом "Still using this computer?".
VI
Появляются иконки ошибки и восклицания, следующие за мышкой.
VII
Переворачиваются некоторые надписи в окнах.
VIII
Туннельный эффект.
Перезапуск ПК
Тут нас встречает надпись Your computer has been trashed by the MEMZ trojan. Now enjoy the Nyan Cat...
И сам Nyan Cat.
Время для реверс-инжиниринга и статического анализа!
Начнём осмотр не с главной функции! (start или main. Это зависит от программы) Мы изучим все функции и узнаем их назначения. После этого нам легче будет понять всю программу.
Во время анализа не будем рассматривать каждую функцию в ассемблерном листинге. Это займёт очень много времени. Вместо этого, мы воспользуемся встроенным декомпилятором. По умолчанию клавиша F5.
В декомпиляторе существует такая функция, как show/hide casts. "Касты" нужны для понимания некоторых вещей. Например: соглашения о вызовах __cdecl, __stdcall и __fastcall, типы аргументов. Мы отключим их. По умолчанию клавиша
\ или нажать правую кнопку мыши, а далее, выбрать нужный нам пункт.IDA называет функции таким образом:
sub (подфункция) _11C1000 (адрес в программе). Функции при анализе я переименовал.
GenRandom_data_to_buffer (sub_11C1A55)
Функция GenRandom_data_to_buffer возвращает буфер с криптографически случайными байтами.
Crypto API помогает при написании программ, где применяется криптография.
Все алгоритмы шифрования, хеширования и т.д. не находятся в Crypto API, а реализуются в отдельных, динамических библиотеках – «криптопровайдерах» (Cryptographic Service Provider – CSP). Сам же Crypto API предоставляет интерфейс для работы с CSP.
С помощью функции CryptAcquireContext производится инициализация криптопровайдера (получение ссылки на HANDLE, которую в дальнейшем можно использовать в других функциях). Если HANDLE не получен, то процесс завершается (ExitProcess). При удачной инициализации HANDLE, вызывается функция CryptGenRandom. Она заполняет буфер (pbBuffer) криптографически случайными байтами. В конце функция возвращает этот буфер.
Все алгоритмы шифрования, хеширования и т.д. не находятся в Crypto API, а реализуются в отдельных, динамических библиотеках – «криптопровайдерах» (Cryptographic Service Provider – CSP). Сам же Crypto API предоставляет интерфейс для работы с CSP.
С помощью функции CryptAcquireContext производится инициализация криптопровайдера (получение ссылки на HANDLE, которую в дальнейшем можно использовать в других функциях). Если HANDLE не получен, то процесс завершается (ExitProcess). При удачной инициализации HANDLE, вызывается функция CryptGenRandom. Она заполняет буфер (pbBuffer) криптографически случайными байтами. В конце функция возвращает этот буфер.
reboot_shutdown_pc (sub_11C1021)
Эта функция выполняет перезагрузку ПК.
1 - Цикл do {} while {} создаёт потоки IF_kill_trojan (20 штук). Задача этого потока выводить одно из вариантов сообщений при попытке "убить" процесс вируса.
2 - Функция reboot_shutdown_pc повышает привилегии процесса до SeShutdownPrivilege.
LoadLibrary загружает ntdll. GetProcAddress извлекает адрес экспортируемой функции из ntdll (hLIB). Далее, идёт проверка (if), что адреса функций получены. Функция OpenProcessToken открывает маркер доступа, связанный с процессом. Далее, функция LookupPrivilegeValue извлекает локальный уникальный идентификатор (LUID), используемый в системе, для локального представления указанных привилегий (SeShutdownPrivilege). Функция AdjustTokenPrivileges делает доступными привилегии для заданного маркера доступа (access token) процесса.
3 - Происходит перезапуск системы (ExitWindowsEx).
2 - Функция reboot_shutdown_pc повышает привилегии процесса до SeShutdownPrivilege.
LoadLibrary загружает ntdll. GetProcAddress извлекает адрес экспортируемой функции из ntdll (hLIB). Далее, идёт проверка (if), что адреса функций получены. Функция OpenProcessToken открывает маркер доступа, связанный с процессом. Далее, функция LookupPrivilegeValue извлекает локальный уникальный идентификатор (LUID), используемый в системе, для локального представления указанных привилегий (SeShutdownPrivilege). Функция AdjustTokenPrivileges делает доступными привилегии для заданного маркера доступа (access token) процесса.
3 - Происходит перезапуск системы (ExitWindowsEx).
check_processes (sub_11C114A)
Эта функция выполняет проверку на существование процессов MEMZ.
1 - Функция GetCurrentProcess извлекает псевдодескриптор для текущего процесса. Далее, GetProcessImageFileName извлекает имя_1 исполняемого файла для указанного процесса.
2 - Начинается бесконечный цикл (while 1). CreateToolhelp32Snapshot создает снапшот запущенных процессов. Process32First извлекает информацию о первом процессе, обнаруженном в снапшоте.
3 - Мы входим в ещё один цикл (do {} while {}). Он будет работать пока в снапшоте остались процессы из которых не извлекли информацию. (Process32Next извлекает информацию о следующем процессе, записанном в снапшоте).
Цикл извлекает имя_2 исполняемого файла другого процесса (GetProcessImageFileName). Если имя_1 первого процесса не совпадает с именем_2 другого процесса, то прибавляется счётчик. Если этот счётчик будет меньше zero (0), то вызывается функция reboot_shutdown_pc. Если счётчик будет больше zero (0), то теперь zero будет равен counter!
Далее, бесконечный цикл повторяется, но уже с другим значением zero. Таким образом будет выполняться проверка процессов и при несоответствии количества - перезагрузка ПК.
2 - Начинается бесконечный цикл (while 1). CreateToolhelp32Snapshot создает снапшот запущенных процессов. Process32First извлекает информацию о первом процессе, обнаруженном в снапшоте.
3 - Мы входим в ещё один цикл (do {} while {}). Он будет работать пока в снапшоте остались процессы из которых не извлекли информацию. (Process32Next извлекает информацию о следующем процессе, записанном в снапшоте).
Цикл извлекает имя_2 исполняемого файла другого процесса (GetProcessImageFileName). Если имя_1 первого процесса не совпадает с именем_2 другого процесса, то прибавляется счётчик. Если этот счётчик будет меньше zero (0), то вызывается функция reboot_shutdown_pc. Если счётчик будет больше zero (0), то теперь zero будет равен counter!
Далее, бесконечный цикл повторяется, но уже с другим значением zero. Таким образом будет выполняться проверка процессов и при несоответствии количества - перезагрузка ПК.
open_google (sub_11C14FC)
Эта функция выполняет один из списка заранее заданных в программе запросов в гугл через браузер по умолчанию.
Выполняется функция ShellExecute, которая выполняет open [запрос]. Далее, запрос открывается в браузере по умолчанию.
Варианты запросов:
setCursorPosition (sub_11C156D)
Эта функция может перемещать курсор в произвольное место на рабочем столе и получать координаты курсора.
1 - Функция GetCursorPos извлекает позицию курсора, в экранных координатах (x,y).
2 - Переменным rand_buff, v9 выставляются произвольные значения.
3 - Функция SetCursorPos перемещает курсор в заданные экранные координаты.
2 - Переменным rand_buff, v9 выставляются произвольные значения.
3 - Функция SetCursorPos перемещает курсор в заданные экранные координаты.
invert_color_screen (sub_11C15D4)
Эта функция инвертирует цвета.
Функция GetDesktopWindow возвращает значение дескриптора окна рабочего стола (hDW). Далее, функция GetWindowDC извлекает контекст устройства (hDC) для всего окна. Затем, функция GetWindowRect извлекает размеры рамки заданного окна (прямоугольник) в Rect. Потом, функция BitBlt выполняет передачу данных о цвете (битовых блоков), соответствующих прямоугольнику пикселей. Особый флаг BitBlt (Это самый последний аргумент) NOTSRCCOPY (
Ссылка скрыта от гостей
) копирует инвертированный исходный прямоугольник в целевой. В конце функция ReleaseDC освобождает контекст устройства (DC) для использования другими функциями.Теперь, мы запустим данный код в тестовой среде (VirtualBox + Visual Studio) и проверим, что он отвечает за инвертирование цветов.
Код для Visual Studio
C++:
#include <Windows.h>
int main()
{
HWND hDW; // edi
HDC hDC; // esi
struct tagRECT Rect; // [esp+8h] [ebp-10h] BYREF
hDW = GetDesktopWindow();
hDC = GetWindowDC(hDW);
GetWindowRect(hDW, &Rect);
BitBlt(hDC, 0, 0, Rect.right - Rect.left, Rect.bottom - Rect.top, hDC, 0, 0, 0x330008u);
ReleaseDC(hDW, hDC);
return 0;
}Результат:
Gen_message_Still_using_this_computer (sub_11C162A)
Эта функция выводит окно с сообщением "Still using this computer?" и названием окна "lol".
Функция CreateThread создаёт поток MESSAGE_Still_using_this_computer.
Этот поток начинается с функции GetCurrentThreadId, которая извлекает значение идентификатора вызывающего потока.
Потом функция SetWindowsHookEx реагирует на особое событие, устанавливает hook (hook разбирать не будем). Далее, MessageBoxW выводит окно с сообщением "Still using this computer?" с названием окна "lol". В конце функция UnhookWindowsHookEx убирает hook, установленный SetWindowsHookEx.
Этот поток начинается с функции GetCurrentThreadId, которая извлекает значение идентификатора вызывающего потока.
Потом функция SetWindowsHookEx реагирует на особое событие, устанавливает hook (hook разбирать не будем). Далее, MessageBoxW выводит окно с сообщением "Still using this computer?" с названием окна "lol". В конце функция UnhookWindowsHookEx убирает hook, установленный SetWindowsHookEx.
rotate_text_in_windows (sub_11C1688)
Эта функция переворачивает некоторый текст в окнах.
В начале функции GetDesktopWindow возвращает значение дескриптора окна рабочего стола (hDW). Функция EnumChildWindows перечисляет дочерние окна, которые принадлежат рабочему столу (hDW), в свою очередь, передавая дескриптор каждого дочернего окна в функцию повторного вызова (set_rotate_text), определяемую программой. Эта операция переворачивает текст в каждом дочернем окне.
set_rotate_text (sub_11C193C)
Функция set_rotate_text начинается с GlobalAlloc, которая выделяет глобальный блок памяти (allocmem). Далее, происходит проверка. Функция SendMessageTimeout отправит сообщение WM_GETTEXT (0xD), чтобы копировать текст, соответствующий тексту в буфере окна, который обеспечивается вызывающей программой. Если текст скопирован, то вызывается функция rotate_data, которая переворачивает данные (текст). Далее, вызывается SendMessageTimeout c сообщением WM_SETTEXT (0xC), чтобы установить новый (перевёрнутый) текст окна. В конце GlobalFree освобождает заданный глобальный блок памяти.
play_system_sounds (sub_11C16A0)
Эта функция проигрывает системные звуки.
Функцией GenRandom_data_to_buffer генерируются произвольные данные в rand_buff. Далее, функция PlaySound воспроизводит звук. Звук выбирается с помощью rand_buff.
Варианты звуков:
Screen_work_glitch (sub_11C16CD)
Эта функция создаёт вот такин эффекты glitch.
От функции GetDesktopWindow мы получаем значение дескриптора окна рабочего стола (hDW). Далее, функция GetWindowDC извлекает контекст устройства (hdc) для всего окна, включая области заголовка, меню и полосы прокрутки. Потом мы получаем размеры рамки ограничивающей прямоугольник заданного окна (функция GetWindowRect). После этих функций происходит генерация многих параметров (x_dest, y_dest, x_source, y_source) с помощью функций GenRandom_data_to_buffer. Эти параметры используются в функции BitBlt, выполняющей передачу битовых блоков данных о цвете, соответствующих прямоугольнику пикселей из заданного исходного контекста (hdc) устройства в целевой контекст устройства (hdc). Последний флаг BitBlt - SRCCOPY (
Ссылка скрыта от гостей
) копирует исходный прямоугольник непосредственно в целевой прямоугольник. В конце функция ReleaseDC освобождает контекст устройства (hdc) для использования другими функциями.keyboard_emulation_work (sub_11C17A5)
Эта функция эмулирует нажатия клавиш клавиатуры.
pInputs.type = 1 означает, что будет эмуляция нажатия клавиш клавиатуры (
pInputs.ki.wVk = GenRandom_data_to_buffer(this) % 42 + 48 устанавливает произвольный код виртуальной клавиши. Код должен быть значением в диапазоне 1 - 254. (
Затем, SendInput синтезирует нажатия клавиши.
Ссылка скрыта от гостей
).pInputs.ki.wVk = GenRandom_data_to_buffer(this) % 42 + 48 устанавливает произвольный код виртуальной клавиши. Код должен быть значением в диапазоне 1 - 254. (
Ссылка скрыта от гостей
).Затем, SendInput синтезирует нажатия клавиши.
help_make_tunnel_effect (sub_11C17E9)
Эта функция создаёт туннельный эффект экрана.
Функция GetDesktopWindow возвращает значение дескриптора окна рабочего стола, а GetWindowDC извлекает контекст устройства (HDC) для всего окна. Далее, функция GetWindowRect извлекает размеры рамки ограничивающей прямоугольник заданного окна. Теперь StretchBlt копирует точечный рисунок из исходного прямоугольника (HDC) в целевой прямоугольник (HDC), растягивая его. Последний флаг SRCCOPY (
Ссылка скрыта от гостей
) копирует исходный прямоугольник непосредственно в целевой прямоугольник.Повторим это в Visual Studio
Код:
#include <Windows.h>
#include <cstdlib>
int main()
{
HWND HWND; // edi
HDC HDC; // esi
struct tagRECT Rect; // [esp+8h] [ebp-18h] BYREF
double v5; // [esp+18h] [ebp-8h]
HWND = GetDesktopWindow();
HDC = GetWindowDC(HWND);
GetWindowRect(HWND, &Rect);
StretchBlt(HDC, 50, 50, Rect.right - 100, Rect.bottom - 100, HDC, 0, 0, Rect.right, Rect.bottom, 0xCC0020u);
ReleaseDC(HWND, HDC);
return 0();
}Результат:
draw_icons (sub_11C1866)
Эта функция рисует иконки ошибки и предупреждения.
xi = GetSystemMetrics(11) / 2 присваивает xi ширину значка по умолчанию.
yi = GetSystemMetrics(12) / 2 присваивает yi высоту значка по умолчанию.
Функция GetDesktopWindow возвращает значение дескриптора окна рабочего стола, а GetWindowDC извлекает контекст устройства (hDC) для всего окна. Далее, с помощью функции GetCursorPos извлекаем позицию курсора, в экранных координатах. Затем, функция LoadIcon загружает указанную иконка ошибки ( IDI_ERROR - 0x7F01). Далее, Функция DrawIcon рисует значок или курсор в контекст указанного устройства. Потом в цикле if загружается и рисуется иконка предупреждения (IDI_WARNING - 0x7F03). В конце функция ReleaseDC освобождает контекст устройства (hDC) для использования другими функциями.
yi = GetSystemMetrics(12) / 2 присваивает yi высоту значка по умолчанию.
Функция GetDesktopWindow возвращает значение дескриптора окна рабочего стола, а GetWindowDC извлекает контекст устройства (hDC) для всего окна. Далее, с помощью функции GetCursorPos извлекаем позицию курсора, в экранных координатах. Затем, функция LoadIcon загружает указанную иконка ошибки ( IDI_ERROR - 0x7F01). Далее, Функция DrawIcon рисует значок или курсор в контекст указанного устройства. Потом в цикле if загружается и рисуется иконка предупреждения (IDI_WARNING - 0x7F03). В конце функция ReleaseDC освобождает контекст устройства (hDC) для использования другими функциями.
start (sub_11C122D)
Разделим эту функцию на блоки кода.
C++:
void __noreturn start()
{
const WCHAR *path; // eax
LPWSTR *path_MEMZ_exe; // eax
HANDLE hMBR; // ebx
_BYTE *alloc_memory; // eax
unsigned int counter; // edi
_BYTE *ptr_alloc_mem; // ecx
unsigned int i; // ecx
HANDLE hFL; // esi
unsigned int counter_2; // edi
DWORD *open_file_and_write; // esi
WCHAR *alloc_memory_2; // esi
int v11; // edi
SHELLEXECUTEINFOW pExecInfo; // [esp+Ch] [ebp-64h] BYREF
MSG Msg; // [esp+48h] [ebp-28h] BYREF
DWORD NumberOfBytesWritten; // [esp+64h] [ebp-Ch] BYREF
HANDLE hObject; // [esp+68h] [ebp-8h]
int pNumArgs; // [esp+6Ch] [ebp-4h] BYREF
xs = GetSystemMetrics(0);
ys = GetSystemMetrics(1);
path = GetCommandLineW();
path_MEMZ_exe = CommandLineToArgvW(path, &pNumArgs);
if ( pNumArgs > 1 )
{
if ( !lstrcmpW(path_MEMZ_exe[1], L"/watchdog") )
{
CreateThread(0, 0, check_processes, 0, 0, 0);
pExecInfo.lpVerb = 48;
pExecInfo.lpParameters = DefWindowProcW_or_shutdown;
pExecInfo.hIcon = "hax";
pExecInfo.lpFile = 0;
pExecInfo.lpDirectory = 0;
pExecInfo.nShow = 0;
pExecInfo.hInstApp = 0;
pExecInfo.lpIDList = 0;
pExecInfo.lpClass = 0;
pExecInfo.hkeyClass = 0;
pExecInfo.dwHotKey = 0;
pExecInfo.hProcess = 0;
RegisterClassExA(&pExecInfo.lpVerb);
CreateWindowExA(0, "hax", 0, 0, 0, 0, 100, 100, 0, 0, 0, 0);
while ( GetMessageW(&Msg, 0, 0, 0) > 0 )
{
TranslateMessage(&Msg);
DispatchMessageW(&Msg);
}
}
hMBR = CreateFileA("\\\\.\\PhysicalDrive0", 0xC0000000, 3u, 0, 3u, 0, 0);
hObject = hMBR;
if ( hMBR == -1 )
ExitProcess(2u);
alloc_memory = LocalAlloc(0x40u, 0x10000u);
counter = 0;
if ( *&aNyanCat[11] )
{
ptr_alloc_mem = alloc_memory;
do
{
++counter;
*ptr_alloc_mem = ptr_alloc_mem[byte_11C2118 - alloc_memory];
++ptr_alloc_mem;
}
while ( counter < *&aNyanCat[11] );
}
for ( i = 0; i < 0x7A0; ++i )
alloc_memory[i + 510] = byte_11C2248[i];
if ( !WriteFile(hMBR, alloc_memory, 0x10000u, &NumberOfBytesWritten, 0) )
ExitProcess(3u);
CloseHandle(hObject);
hFL = CreateFileA("\\note.txt", 0xC0000000, 3u, 0, 2u, 0x80u, 0);
if ( hFL == -1 )
ExitProcess(4u);
if ( !WriteFile(
hFL,
"YOUR COMPUTER HAS BEEN FUCKED BY THE MEMZ TROJAN.\r\n"
"\r\n"
"Your computer won't boot up again,\r\n"
"so use it as long as you can!\r\n"
"\r\n"
":D\r\n"
"\r\n"
"Trying to kill MEMZ will cause your system to be\r\n"
"destroyed instantly, so don't try it :D",
0xDAu,
&NumberOfBytesWritten,
0) )
ExitProcess(5u);
CloseHandle(hFL);
ShellExecuteA(0, 0, "notepad", "\\note.txt", 0, 10);
counter_2 = 0;
open_file_and_write = &off_11C5130;
do
{
Sleep(open_file_and_write[1]);
CreateThread(0, 0, sleep_or_thread_parametr, open_file_and_write, 0, 0);
++counter_2;
open_file_and_write += 2;
}
while ( counter_2 < 0xA );
while ( 1 )
Sleep(0x2710u);
}
if ( MessageBoxA(
0,
"The software you just executed is considered malware.\r\n"
"This malware will harm your computer and makes it unusable.\r\n"
"If you are seeing this message without knowing what you just executed, simply press No and nothing will happen."
"\r\n"
"If you know what this malware does and are using a safe environment to test, press Yes to start it.\r\n"
"\r\n"
"DO YOU WANT TO EXECUTE THIS MALWARE, RESULTING IN AN UNUSABLE MACHINE?",
"MEMZ",
0x34u) == 6
&& MessageBoxA(
0,
"THIS IS THE LAST WARNING!\r\n"
"\r\n"
"THE CREATOR IS NOT RESPONSIBLE FOR ANY DAMAGE MADE USING THIS MALWARE!\r\n"
"STILL EXECUTE IT?",
"MEMZ",
0x34u) == 6 )
{
alloc_memory_2 = LocalAlloc(0x40u, 0x4000u);
GetModuleFileNameW(0, alloc_memory_2, 0x2000u);
v11 = 5;
do
{
ShellExecuteW(0, 0, alloc_memory_2, L"/watchdog", 0, 10);
--v11;
}
while ( v11 );
pExecInfo.cbSize = 60;
pExecInfo.lpFile = alloc_memory_2;
pExecInfo.lpParameters = L"/main";
pExecInfo.fMask = 64;
pExecInfo.hwnd = 0;
pExecInfo.lpVerb = 0;
pExecInfo.lpDirectory = 0;
pExecInfo.hInstApp = 0;
pExecInfo.nShow = 10;
ShellExecuteExW(&pExecInfo);
SetPriorityClass(pExecInfo.hProcess, 0x80u);
}
ExitProcess(0);
}Первый блок кода.
Этот блок кода вызывает функцию check_processes и настраивает окна.
С помощью функции GetSystemMetrics мы получаем длину и ширину экрана. Далее, функция GetCommandLine извлекает командную строку для текущего процесса.
Функция CommandLineToArgvW подробно анализирует командную строку Unicode, а также помогает получить установленные значения argv и argc.
Потом MEMZ анализирует количество аргументов. Далее, начинается большое действие в цикле if (назовём if_big). Если аргументы есть, то идёт проверка на присутствие флага
Потом функция CreateWindowEx создаёт окно.
В конце этого куска кода есть цикл (while). Он будет работать пока функция GetMessage извлекает сообщение из очереди сообщений вызывающего потока. Эти сообщения TranslateMessage переводит сообщения виртуальных клавиш в символьные сообщения, а DispatchMessage распределяет (доставляет) сообщение оконной процедуре.
Функция CommandLineToArgvW подробно анализирует командную строку Unicode, а также помогает получить установленные значения argv и argc.
Потом MEMZ анализирует количество аргументов. Далее, начинается большое действие в цикле if (назовём if_big). Если аргументы есть, то идёт проверка на присутствие флага
/watchdog. При присутствии флага /watchdog создаётся поток check_processes, который проверяет наличие процессов MEMZ. Затем, функция RegisterClassEx регистрирует класс окна и CreateWindowEx использует его. Перед вызовом функции RegisterClass настраиваются параметры структуры WNDCLASSEX, которая содержит информацию о классе окна. Параметр lpfnWndProc (pExecInfo.lpParameters = DefWindowProcW_or_shutdown) указывает на оконную процедуру DefWindowProcW_or_shutdown. Она обрабатывает сообщения.Если сообщение это WM_CLOSE (0x10 = 16) или WM_ENDSESSION (0x16 = 22), то функция DefWindowProc вызывается и завершает работу окна (WM_CLOSE) или информирует приложение о том, завершается ли сеанс (выключение ПК). Для всех остальных сообщений будет вызываться функция reboot_shutdown_pc.
Потом функция CreateWindowEx создаёт окно.
В конце этого куска кода есть цикл (while). Он будет работать пока функция GetMessage извлекает сообщение из очереди сообщений вызывающего потока. Эти сообщения TranslateMessage переводит сообщения виртуальных клавиш в символьные сообщения, а DispatchMessage распределяет (доставляет) сообщение оконной процедуре.
Если запустить MEMZ с флагом /watchdog, а затем, попытаться ещё раз запустить MEMZ, то появиться множество сообщений. Далее, компьютер перезагрузится, но Nyan Cat'a не будет.
Второй фрагмент кода.
Этот фрагмент кода перезаписывает MBR раздел Nyan Cat'ом.
В начале мы открываем MBR раздел ( CreateFileA("\\\\.\\PhysicalDrive0", 0xC0000000, 3u, 0, 3u, 0, 0) ). Если не получилось открыть MBR раздел, то процесс завершается (ExitProcess). Далее, мы выделяем фрагмент локальной памяти (alloc_memory) с помощью LocalAlloc. Потом идёт проверка на символ
/ в строке Nyan Cat.../. Если он присутствует, то начинается перезапись части байтов alloc_memory другими данными (назовём эти данные nyan_cat_bytes). Потом в цикле for другая часть байтов добавляется к новым в alloc_memory. Затем, байты из alloc_memory записывают в MBR раздел. Если записать байты не удалось, то процесс завершается (ExitProcess). В конце функция CloseHandle закрывает дескриптор открытого объекта (MBR).Если взять байты bios_bytes и записать в файл, то получиться файл типа
BIOS (ia32) ROM Ext. (-125*512).
Bash:
file bios_nyan_cat
bios_nyan_cat: BIOS (ia32) ROM Ext. (-125*512)Третий фрагмент кода.
Этот блок кода выполняет функции, связанные с визуальной составляющей.
В начале этого фрагмента создаётся файл "note.txt" (CreateFile) в начале диска C (\\). Если MEMZ не смог его создать, то процесс завершается (ExitProcess). Затем, в этот файл записывается сообщение (WriteFile). Если сообщение не удалось записать, то процесс завершается (ExitProcess). Далее, функция CloseHandle закрывает дескриптор открытого объекта (note.txt). После записи сообщения, открывается блокнот (notepad.exe) с этим сообщением. Когда сообщение показано, начинается цикл do {} while {}. Он останавливает (Sleep) свою работу на 30000 миллисекунд (30 секунд). А после окончания времени, создаёт поток sleep_or_thread_parametr, который вызывает функцию open_google и все остальные. А далее, будет вызываться функция Sleep на 10000 миллисекунд (10 секунд). Но другие функции всё ещё будут работать, так как они работают в другом потоке. А ещё здесь заканчивается действие if_big. К этому блоку кода мы скоро вернёмся.
Сообщение:
Сообщение:
Код:
YOUR COMPUTER HAS BEEN FUCKED BY THE MEMZ TROJAN.
Your computer won't boot up again, so use it as long as you can!
Trying to kill MEMZ will cause your system to be destroyed instantly, so don't try it :DЧетвертый блок кода
Этот блок кода запускает остальные процессы MEMZ с различными аргументами и выводит предупреждение.
Сначала функция MessageBox выводит предупреждение с кнопками "Yes", "No" (
Ссылка скрыта от гостей
) и если нажата кнопка Yes , то (код 6 значит была выбрана кнопка "Да".) выводится второе предупреждение с кнопками "Yes", "No", но с другим сообщением. После этого выделяется фрагмент локальной памяти (alloc_memory_2) и функция GetModuleFileName извлекает полный путь к исполняемому файлу MEMZ, который попадает во фрагмент локальной памяти. Далее, счётчик v11 = 5. Он нужен для работы цикла do {} while {}. В теле цикла выполняется запуск MEMZ с флагом /watchdogs. Получается, что будет запущено дополнительных 5 экземпляров MEMZ. После запуска своих экземпляров, идёт подготовка для запуска нового экземпляра (устанавливаются значения некоторых параметров структуры SHELLEXECUTEINFOA) MEMZ с аргументов /main. Потом новый экземпляр MEMZ запускается с помощью ShellExecuteEx. А функция SetPriorityClass устанавливает класс приоритета HIGH_PRIORITY_CLASS для заданного процесса. В конце самый первый процесс MEMZ завершает свою работу, а вместо него теперь будут работать 5 процессов MEMZ с флагом /watchdogs и 1 процесс с флагом /main. Процесс с флагом /main выполняет большую часть работы.
Динамический анализ.
Чтобы собрать всё воедино, нам поможет отладчик.
Просто запустим MEMZ.
При обычном запуске появляются 2 предупреждения. Далее, запускается MEMZ с аргументом /main. При запуске под отладчиком у нас процессов меньше по сравнению с запуском без отладчика (2 vs 6). MEMZ считает, что некоторые процессы были убиты и перезапускает пк. MEMZ с аргументом /main уже перезаписал MBR раздел. Следует посмотреть на это под отладчиком.
Запуск MEMZ с флагом /main под отладчиком.
Первым делом идёт перезапись раздела с MBR на Nyan Cat. Далее, создаётся файл note.txt с сообщением и открывается в блокноте. После этого начинается самое интересное. Создаётся поток sleep_or_thread_parametr, который перебирает смещения функций, работающих с визуальной частью (туннельный эффект, иконки, инвертирование цветов), мышкой, клавиатурой и звуками, открытием браузера по умолчанию с запросами, окнами "Still using this computer?" и переворачиванием некоторого текста. Если поставить точку останова, как на видео, то можно посмотреть на то, как идёт наслоение разных эффектов. Если "убить" этот процесс, то компьютер не перезагрузиться, но раздел MBR перезапишется. Флаг /main отвечает за всю основную работу с визуальной составляющей и перезаписью MBR. За контроль процессов отвечает флаг /watchdog.
Запуск MEMZ с флагом /watchdog под отладчиком.
Теперь вы знаете, что MEMZ состоит из двух частей. Первая часть - MEMZ с флагом /main, отвечающая за всю основную работу с визуальной составляющей и перезаписью MBR. А вторая - MEMZ с флагом /watchdog, отвечающая за контроль процессов и перезапуск ПК. Обе части запускаются при обычном запуске без параметров.
Спасибо за то, что дочитали эту статью. Надеюсь, что она вам понравилась. Желаю всем удачи!
Последнее редактирование модератором:
