Phân tích mã độc Lab15-03 trong cuốn sách Practical Malware Analysis
Practical Malware Analysis: https://nostarch.com/malware
Mẫu mã độc của Lab15-03 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs
Phân tích
Mã độc tải URL http://www.practicalmalwareanalysis.com/tt.html và lưu nội dung vào file spoolsrv.exe, chạy file spoolsrv.exe sau đó kết thúc thực thi.
Các giá trị URL và filename được giải mã thông qua một hàm XOR với XOR key là 0x0FF
Giải mã đoạn hex code chứa các giá trị URL và filename bằng công cụ Hex Operations của 010 Editor.
PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB15-02
Phát hiện
20 byte từ file offset 0x100C, đoạn sửa return pointer
20 byte từ file offset 0x1504, đoạn push tham số đầu vào và gọi hàm URLDownloadToFileA
Gỡ bỏ
-
- Xóa file thực thi của mã độc
- Cố gắng kill process và xóa file spoolsrv.exe trong thư mục chứa file thực thi của mã độc
XEM THÊM: Chuyên đề Phân Tích Mã Độc
Securitybox