Sau khi phân tích mã độc Lab14 , chuyên gia Securitybox tiếp tục gửi đến bạn đọc Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab15-02
Phân tích mã độc Lab15-02 trong cuốn sách Practical Malware Analysis
Practical Malware Analysis: https://nostarch.com/malware
Mẫu mã độc của Lab15-02 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs
Phân tích
Lab15-02.exe thực hiện các hành vi:
- Truy vấn đến http://practicalmalwareanalysis.com/bamboo.html
- Sử dụng UA là chuỗi string được dịch phải 1 ký tự (VD: ‘A’ thành ‘B’) từ kết quả trả về của hàm gethostname. Để đảm bảo chuỗi string chỉ gồm các ký tự ASCII gồm các chữ cái và số, Lab15-02.exe chuyển các ký tự ‘Z’, ‘z’, và ‘9’ thành các ký tự ‘A’, ‘a’ và ‘0’ tương ứng trước khi dịch chuỗi.
- Lab15-02.exe sau đó tìm kiếm chuỗi “Bamboo::” và “::” trong nội dung file bamboo.html. Dữ liệu nằm giữa 2 chuỗi “Bamboo::” và “::” được tải về file Account Summary.xls.exe. Lab15-02.exe sau đó sẽ chạy file Account Summary.xls.exe vừa tải về bằng hàm ShellExecuteA.
Phát hiện
20 byte từ file offset 0x10C3, đoạn chuyển ký tự ‘Z’ thành ‘A’ trước khi dịch phải 1 ký tự trong chuỗi string gethostname
20 byte từ file offset 0x12F2, đoạn ShelExecute
Gỡ bỏ
Xóa file thực thi của mã độc và cố gắng xóa file Account Summary.xls.exe trong cùng thư mục
Tổng hợp chuyên đề phân tích mã độc tại SecurityBox.vn