MEMZ木马病毒

今天做蠕虫弄个memz病毒，把虚拟机搞崩了，重装了一下才解决，详细的了解了一下这种病毒。

MEMZ病毒：

MEMZ病毒又称彩虹猫病毒，在运行时,该病毒会不断弹窗导致系统无法正常运行，如果尝试结束MEMZ进程或重启系统，桌面会弹出无数个包含“火星文”的消息对话框，随后计算机进入蓝屏状态。重启后，会在屏幕顶部出现一段英文（译文：你的电脑已经被MEMZ病毒损坏，现在一起来欣赏彩虹猫吧），最后出现一个跳跃的“彩虹猫”动画。

运行环境：虚拟机！！！！

源代码：Github上有源码，不过好像是越南语的注释，不太好找，想要的可以联系我。

运行流程：该病毒程序包含一个主运行exe文件以及几个配置文件，双击exe即可运行

首先会两次弹出警告窗口

警告你这是个病毒文件，这也是病毒开发者的善意提醒，提醒你了，后果自负！

运行后，会自动连接一个网址（我连接的是Google，不固定），然后页面颜色改变，鼠标乱窜，随后自动弹窗

最后导致系统崩溃蓝屏

这时候我选择了重启，那么恭喜我自己，一个彩虹小猫正朝着我走来，再也回不去了

其实MEMZ病毒的攻击原理相对简单，就是修改你的MBR，修复的话需要外插PE盘修复分区，当然我用的虚拟机直接重装就可以了。

可以用IDA来具体分析，不过有点复杂还没学会，有篇文章写的挺详细，先贴在这，以后逆向学明白了再看：https://mnihyc.com/blog/archives/556

补充：MBR：

MBR，即主引导记录，是对IBM兼容机的硬盘或者可移动磁盘分区时，在驱动器最前端的一段引导扇区。MBR概念是在1983年PC DOS 2.0支持硬盘后才有的。

MBR描述了逻辑分区的信息，包含文件系统以及组织方式。此外，MBR还包含计算机在启动的第二阶段加载操作系统的可执行代码或连接每个分区的引导记录(VBR)。这个MBR代码通常被称为引导程序。

由于MBR分区表的最大可寻址的存储空间只有2Tb(2×512字节)。因此，在大硬盘出现的现在，MBR分区方式逐渐被GUID分区表取代。

MBR不可能存在于不可分区的媒介如软盘等中，其不属于任何一个系统，但可以被命令修改。

补：没玩够，我在来一遍，可怜我的虚拟机了~