在 COVID-19 还未结束之际,伪装成 COVID-22 安装程序的新兴恶意软件已经出现。
FortiGuard Labs 11 月中旬发现,攻击者利用疫情为诱饵,受害者一旦安装 COVID-22 恶意软件,主机将失陷无法启动,属于一种破坏性恶意软件变种。
COVID-22
恶意软件命名为 Covid22,与 COVID-19 的命名保持一致,但与已经爆发的新冠病毒无关。攻击者将用户对这种破坏性病毒的恐惧投射到计算机上,表明该病毒可能会在 2022 年大肆传播。
尽管并不清楚恶意软件的确切分布情况,但攻击者在尝试利用恐惧来引诱受害者打开恶意软件。其实恶意软件并不复杂,但攻击者为了让受害者感到恐惧着实下了功夫。
该文件第一次手动运行时,会像正常程序一样询问用户是否想要安装 COVID-22。

运行提示
一旦用户选择继续安装,恶意软件就会在强制重启计算机前释放几个恶意文件。恶意文件的名称非常简单:
Covid22Server.exe 执行释放的 script.txt 的命令。
lol.vbs 会创建一个无限循环的 MessageBox,弹窗显示“你的电脑已经被 COVID-22 病毒感染!静待死机吧!”

弹窗提示
speakwh.vbs 通过电脑的扬声器循环播放“冠状病毒”。
CoronaPopup.exe 弹出一个窗口,标题为“COVID-22 已经感染电脑!”,并显示冠状病毒的图像。

冠状病毒的图像
ClutterScreen.exe 不断移动像素块把屏幕弄花。
x.vbs 会弹出提示“新冠病毒!”的消息 50 次。

弹窗提示
noescapes.vbs 会弹出提示“无处可逃!”的消息 10 次。

弹窗提示
icon.exe 用红色的 X 号图标填充屏幕。

屏幕填充满的情况
final.vbs 会弹出提示“再见”的消息。

弹窗提示
这些功能通常是用于取笑用户的 Joke 类程序的典型行为,但攻击者不止于此。恶意软件还会执行 WipeMBR.exe 来破坏主引导记录(MBR),执行后将会弹出提示“COVID-22 已经安装完成!和你的电脑永别吧!”的提示并强制重新启动计算机。

重新启动前的弹窗提示
MBR 中保存着硬盘驱动器分区信息和操作系统的加载程序,所以失陷主机也不能在重启的时候正常加载操作系统。对用户来说,值得庆幸的是恶意软件并未破坏或者窃取失陷主机上的任何文件,受害者仍然可以从硬盘上恢复文件。
该恶意软件与 Sonicwall 在 2020 年 4 月中提到的另一个 MBR 擦除器功能类似,但代码上看不出什么相似之处。该恶意软件只是用零覆盖了 MBR:

恶意样本部分代码
如何修复 MBR
现代的 Windows 机器上修复 MBR 相对容易一些,重启后系统会自动进入修复模式。Windows 可以启动自动修复,或者也可以选择手动修复,如 bootrec.exe /fixmbr。
提醒管理员在外部存储上备份数据也很重要,这样才能防止任何文件被加密或者破坏。
来源:FreeBuf.COM