PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICALMALWAREANALYSIS LAB06-03

13

Menu bài viết

Phân tích

Lab06-03.exe thực hiện các hành vi:

  • Kiểm tra kết nối Internet trên hệ thống. Nếu có kết nối Internet, in ra màn hình kết quả “Success: Internet Connection”; nếu không có kết nối Internet, in ra màn hình kết quả “Error 1.1: No Internet” và kết thúc thực thi
  • Nếu hệ thống có kết nối Internet, thực hiện truy vấn tới URL “http://www.practicalmalwareanalysis.com/cc.htm” với UA là “Internet Explorer 7.5/pma”. Nếu kết nối tới URL trên không thành công, in ra màn hình kết quả “Error 2.1: Fail to OpenUrl” và kết thúc thực thi. Tại thời điểm phân tích, file cc.htm không còn tồn tại trên máy chủ practicalmalwareanalysis.com nên thực thi mã độc chỉ trả về Error 2.1.

lab631 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICALMALWAREANALYSIS LAB06-03

  • Nếu kết nối URL thành công, đọc 200 byte đầu tiên của file cc.htm. Nếu lỗi đọc file, in ra màn hình kết quả “Error 2.2: Fail to ReadFile” và kết thúc thực thi.
  • So sánh 4 byte đầu tiên trong dữ liệu đọc được với chuỗi “<!–”, nếu không trùng khớp, in ra màn hình kết quả “Error 2.3: Fail to get command” và kết thúc thực thi.

lab632 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICALMALWAREANALYSIS LAB06-03

  • Nếu 4 byte đầu tiên trong dữ liệu đọc từ file cc.htm trùng với chuỗi “<!–” (mở đầu HTML comment), in ra màn hình thông báo “Success: Parsed command is ” và ký tự đầu tiên trong HTML comment
  • So sánh kết quả phép trừ kí tự đầu tiên lấy được từ HTML comment cho 61h (so sánh kí tự đầu tiên trong HTML comment với các kí tự ASCII ‘a’ -> ‘e’) và lấy kết quả trên làm điều kiện nhảy tới switch case tương ứng:

+ Case 0: Tạo thư mục C:\Temp

+ Case 1: Copy file thực thi của Lab06-03.exe vào thư mục C:\Temp, đặt tên mới cho file vừa copy là cc.exe (C:\Temp\cc.exe)

+ Case 2: Xóa file C:\Temp\cc.exe

+ Case 3: Mở subkey tại Software\Microsoft\Windows\CurrentVersion\Run , thêm một value mới là “Malware” và đặt giá trị cho key đó là “C:\Temp\cc.exe”.

+ Case 4: Sleep 100 giây

+ Default: Báo lỗi “Error 3.2: Not a valid command provided”

+ Tất cả các đường dẫn và tên registry value trên đều hard-coded

lab633 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICALMALWAREANALYSIS LAB06-03

  • Sleep 60s và kết thúc thực thi.

=>> XEM THÊM: Phân tích, phát hiện và gỡ bỏ mã độc PracticalMalwareAnalysis Lab06-03

Phát hiện

Lab06-03.exe có thể phát hiện bằng signature:

  • 20 byte tính từ fileoffset 4332 (10ECh), là đoạn code so sánh 4 byte dữ liệu đọc từ cc.htm với chuỗi mở đầu HTML comment (“<!–”)

lab634 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICALMALWAREANALYSIS LAB06-03

  • 20 byte tính từ fileoffset 4681 (1249h), là đoạn cuối hàm main

lab635 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICALMALWAREANALYSIS LAB06-03

Gỡ bỏ

  • Lấy tên và xóa bỏ file thực thi của mã độc
  • Cố gắng xóa registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Malware
  • Cố gắng xóa file C:\Temp\cc.exe
  • Đường dẫn tới registry value và file cc.exe trên đều được hard-coded

lab636 PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICALMALWAREANALYSIS LAB06-03

BÌNH LUẬN

Please enter your comment!
Please enter your name here