※警告※
本レポートはマルウェアの解析を教育目的で行ったものです。マルウェアの実際の作成や配布は違法であり、決して行ってはいけません。本レポートの内容を不正な目的で利用することは固く禁じられています。本レポートに記載されたコード断片は説明のためのサンプルであり、実行可能なマルウェアではありません。
こんばんは!初投稿なので小さなミスは見逃して!
あとC#についての記事ですがマジで触った事ないのでミスってたら許してください!
自分なりに調べた結果なので間違ったら指摘してください!
ホラー系のウイルスなので怖いの苦手な人は見ない方がいいかも!
Mrsmajor 3.0とは?
簡単に言うとめちゃ危険なコンピューターウイルスです
バージョン: 3.0が最新らしい(4.0の動画が出回っているが作者が違う)
制作者: 不明(ロシア語使える人らしい)
制作日: 2020年初期頃
内容について
バージョン3.0から、アプリを起動するのに二つの要素が追加されました
1:実機だと起動できない事
実機で起動しようとする場合「VM check error 102」が出ます。
簡単に言うと仮想環境かどうかを判定している感じです
処理内容(多分こんな感じ?)
2種類あったんで記載します
①: WMI(windowsの様々な情報や機能にアクセスするための強力なインターフェイス)
を使ってコンピュータシステムのメーカー情報を取得し、
"仮想環境の名前①"や"想環境の名前②"という文字列が含まれているかのチェックをして仮想環境かどうかを判定する。
string manufacturer = item.GetPropertyValue("Manufacturer")?.ToString() ?? string.Empty;
if (manufacturer.ToLowerInvariant().Contains("仮想環境の名前①") || manufacturer.Contains("仮想環境の名前②"))
②: VmCallという外部DLLを呼び出してVMCALL命令を実行し、例外が発生すればVMと判断します的な?(AIが提示したコードマジ理解できなかった、下手に書いたら捕まりそうだから書かないでおく...)
これ以外にも方法があるみたいです... 良かったら調べてみてね!
これを見るに作者は実機で動作させないようにしているあたり優しい
2:起動するのにパスワードを要する事
2.0の時はチェックボックス式だったのに対して3.0から制作者にメールしないとパスワードが分からないようになっています(もし分かっても公表することは禁止されてます)
余談が長引いてしまいました ごめんちゃい
ここから本編の内容になります。
※この下からホラー描写な画像が表示されます
今回はこのサイトを参考にしてマルウェアを紐解いていこうと思います
内部構造はこんな感じです
(ネットに上がっているだけなので一部ファイルが足りないかもしれないです)
めちゃくちゃ多いっすね.........
上から順番に調べていきます☺️
まず一番上のファイルの中身(Properties)なのですが
簡単に言うと会社名、製品名、著作権情報などが記載されたアセンブリ言語でした。
他のファイルは実行画面から紐づけていきます!
実行画面はこんな感じです
おおまかな仕組みとしては赤いバーがタイマーになっており、時間切れになったらパソコンが動かなくなる仕組みです。
大まかな流れについて説明すると
①可視化できないウィンドウをつかって コマンドプロンプトで権限の変更などを行う
②起動に必要なファイルの書き換えを行う(login.exeとか)
③再起動時に起動ファイルが書き換えられてるため開かない
Mrsmajor2.0のときは、起動時に必要なファイルを上書きして(login.exeとか)権限とかを直したら終わったのですが、
Mrsmajor3.0の場合一筋縄では行かないみたいです。