利用新型冠状病毒疫情的恶意软件分析

SonicWall Capture研究人员发现一款恶意软件利用CoViD19疫情，通过覆写MBR（主引导记录）文件使得受影响用户的硬盘不可用。

感染链

恶意软件执行后，会在临时文件夹中释放一些帮助文件：

其中一个helper文件名为coronavirus.bat，将自己识别为coronovirus Installer，负责执行大多数的设置安装工作。恶意软件会创建一个名为COVID-19的文件夹，并将之前释放的helper文件都移动过来。为了不被受害者发现，COVID-19文件夹是隐藏的。然后会禁用Windows任务管理器、UAC控制等，并且在修改了用户的当前墙纸后会禁止增加或修改墙纸。恶意软件还会在注册表中添加新的记录来实现驻留。

Coronavirus.bat

受害者会被通知安装和重启系统。

run.exe会创建一个明文run.bat的批处理文件来确保coronavirus.bat文件对注册表的修改在mainWindow.exe执行后不会变化。

MainWindow.exe执行后会显示一个具有2个按钮的窗口，展示的是CoVID-19病毒的结构。

其中一个名为Remove virus（移除病毒）的按钮没有什么作用。点击HELP按钮后，会展示下面的图片：

Update.VBS脚本文件的唯一功能是展示下面的消息窗口：

在系统重启后会有另外一个二进制文件开始执行，作用是覆写MBR文件。

原始的MBR文件会在被新文件覆写前会在一个区域备份。

用新代码覆写MBR：

在硬盘的第二个区域会复制下面的消息:

MBR和新代码:

最后，受害者会根据bootstrap代码展示如下信息：