Sau khi phân tích mã độc Lab14 , chuyên gia Securitybox tiếp tục gửi đến bạn đọc Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab15-02

Phân tích mã độc Lab15-02 trong cuốn sách Practical Malware Analysis

Practical Malware Analysis: https://nostarch.com/malware

Mẫu mã độc của Lab15-02 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

Lab15-02.exe thực hiện các hành vi:

• Truy vấn đến http://practicalmalwareanalysis.com/bamboo.html

• Sử dụng UA là chuỗi string được dịch phải 1 ký tự (VD: ‘A’ thành ‘B’) từ kết quả trả về của hàm gethostname. Để đảm bảo chuỗi string chỉ gồm các ký tự ASCII gồm các chữ cái và số, Lab15-02.exe chuyển các ký tự ‘Z’, ‘z’, và ‘9’ thành các ký tự ‘A’, ‘a’ và ‘0’ tương ứng trước khi dịch chuỗi.

• Lab15-02.exe sau đó tìm kiếm chuỗi “Bamboo::” và “::” trong nội dung file bamboo.html. Dữ liệu nằm giữa 2 chuỗi “Bamboo::” và “::” được tải về file Account Summary.xls.exe. Lab15-02.exe sau đó sẽ chạy file Account Summary.xls.exe vừa tải về bằng hàm ShellExecuteA.

Phát hiện

20 byte từ file offset 0x10C3, đoạn chuyển ký tự ‘Z’ thành ‘A’ trước khi dịch phải 1 ký tự trong chuỗi string gethostname

20 byte từ file offset 0x12F2, đoạn ShelExecute

Gỡ bỏ

Xóa file thực thi của mã độc và cố gắng xóa file Account Summary.xls.exe trong cùng thư mục

Tổng hợp chuyên đề phân tích mã độc tại SecurityBox.vn