Trong bài viết lần này, chuyên gia an ninh mạng SecurityBox sẽ gửi đến các bạn chuyên đề phân tích mã độc Practical Malware Analysis Lab12-03. Bài viết hướng dẫn cách phân tích, phát hiện và gỡ bỏ loại mã độc này.

Phân tích mã độc Lab12-03 trong cuốn sách Practical Malware Analysis

Practical Malware Analysis: https://nostarch.com/malware

Mẫu mã độc của Lab12-03 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

Lab12-03.exe là một KeyLogger. Ban đầu, Lab12-03.exe cài đặt một Hook bằng hàm SetWindowsHookEx, sau đó lặp vô tận thao tác gọi hàm GetMessage.

Đối với mỗi Message, mã độc thực hiện nhảy trong một bảng switch case với vkCode tương ứng và ghi vào file practicalmalwareanalysis.log trong cùng thư mục với file Lab12-03.exe.

Nội dung keylog được phân loại với đề mục là tên cửa sổ mà người dùng đang thao tác.

Phát hiện

Lab12-03.exe có thể phát hiện bằng signature:

• 20 byte từ file offset 4173, là đoạn gọi hàm SetWindowHookEx từ hàm main

• 20 byte từ file offset 4263, là đoạn xử lý và ghi log đối với mỗi message

Gỡ bỏ

• Kill handle và xóa file thực thi Lab12-03.exe
• Quét trong thư mục của file thực thi và cố gắng xóa file practicalmalwareanalysis.log

Bạn đọc yêu thích công nghệ hãy theo dõi Blog của chúng tôi để cập nhật những bài viết hay nhất về phân tích mã độc nhé =>> Blog SecurityBox