Mục lục bài viết || Contents of the article

    Phân tích mã độc Lab15-03 trong cuốn sách Practical Malware Analysis

    Practical Malware Analysis: https://nostarch.com/malware

    Mẫu mã độc của Lab15-03 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

    Phân tích

    Mã độc tải URL http://www.practicalmalwareanalysis.com/tt.html và lưu nội dung vào file spoolsrv.exe, chạy file spoolsrv.exe sau đó kết thúc thực thi.

    lab1531

    Các giá trị URL và filename được giải mã thông qua một hàm XOR với  XOR key là 0x0FF

    lab1532

    Giải mã đoạn hex code chứa các giá trị URL và filename bằng công cụ Hex Operations của 010 Editor.

    lab1534

    PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB15-02

    Phát hiện

    20 byte từ file offset 0x100C, đoạn sửa return pointer

    lab1536

    20 byte từ file offset 0x1504, đoạn push tham số đầu vào và gọi hàm URLDownloadToFileA

    lab1537

    Gỡ bỏ

      • Xóa file thực thi của mã độc
    • Cố gắng kill process và xóa file spoolsrv.exe trong thư mục chứa file thực thi của mã độc

    lab1538

    XEM THÊM: Chuyên đề Phân Tích Mã Độc

    Securitybox

    Bài viết đề xuất || Recommended
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...