PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB06-02

Phân tích

Lab06-02.exe thực hiện các thao tác:

  • Kiểm tra kết nối Internet trên hệ thống. Nếu có kết nối Internet, in ra màn hình kết quả “Success: Internet Connection”; nếu không có kết nối Internet, in ra màn hình kết quả “Error 1.1: No Internet”
  • Nếu hệ thống có kết nối Internet, thực hiện truy vấn tới URL “http://www.practicalmalwareanalysis.com/cc.htm” với UA là “Internet Explorer 7.5/pma”. Nếu kết nối tới URL trên không thành công, in ra màn hình kết quả “Error 2.1: Fail to OpenUrl”

lab621 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB06-02

  • Nếu kết nối URL thành công, đọc 200 byte đầu tiên của file cc.htm. Nếu lỗi đọc file, in ra màn hình kết quả “Error 2.2: Fail to ReadFile”.
  • So sánh 4 byte đầu tiên trong dữ liệu đọc được với chuỗi “<!–”, nếu không trùng khớp, in ra màn hình kết quả “Error 2.3: Fail to get command”

lab622 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB06-02

  • Nếu 4 byte đầu tiên trong dữ liệu đọc từ file cc.htm trùng với chuỗi “<!–” (mở đầu HTML comment), in ra màn hình thông báo “Success: Parsed command is ” và ký tự đầu tiên trong HTML comment
  • Sleep 60s và kết thúc thực thi.

Xem Thêm: Phân tích mã độc Lab 06-01

Phát hiện

Lab06-02.exe có thể phát hiện bằng signature:

  • 20 byte tính từ fileoffset 4332 (10ECh), là đoạn code so sánh 4 byte dữ liệu đọc từ cc.htm với chuỗi mở đầu HTML comment (“<!–”)

lab623 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB06-02

  • 20 byte tính từ fileoffset 4454 (1166h), là đoạn cuối hàm main

lab624 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB06-02

Gỡ bỏ

Chỉ cần xóa file Lab06-02.exe

lab625 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB06-02

BÌNH LUẬN

Please enter your comment!
Please enter your name here