Tạo bài viết
Đăng ký
18/09/2018, 15:57

Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab07-02

Chuyên đề phân tích mã độc đang được rất nhiều bạn đọc yêu thích công nghệ quan tâm, SecurityBox đang nhận được rất nhiều phản hồi tích cực từ phía độc giả. Trong bài viết lần trước bạn đọc đã được hướng dẫn phân tích về mã độc lab07-01, ở bài viết này chuyên gia an ninh mạng của ...

Chuyên đề phân tích mã độc đang được rất nhiều bạn đọc yêu thích công nghệ quan tâm, SecurityBox đang nhận được rất nhiều phản hồi tích cực từ phía độc giả. Trong bài viết lần trước bạn đọc đã được hướng dẫn phân tích về mã độc lab07-01, ở bài viết này chuyên gia an ninh mạng của SecurityBox sẽ hướng dẫn các bạn phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab07-02.

Phân tích mã độc Lab07-02 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

Mẫu mã độc của Lab07-02 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

  • Khi thực thi, đầu tiên, Lab07-02.exe khởi tạo một COM object và một con trỏ trỏ tới COM object vừa tạo.

lab71

lab72

  • Với các giá trị IID là D30C1661-CDAF-11D0-8A3E-00C04FC9E26E và CLSID là 0002DF01-0000-0000-C000-000000000046, có thể thấy đối tượng COM được khởi tạo là một instance của Internet Explorer

lab73

lab74

  • Con trỏ trả về từ hàm CoCreateInstance được lưu vào biến ppv trong stack và được sử dụng trong lời gọi phương thức tại offset 0x2C của giao diện IWebBrowser2 (dòng 0x401074). Offset 0x2C của IWebBrowser2 là hàm Navigate.

  • Như vậy, Lab07-02.exe thực hiện mở một cửa sổ Internet Explorer, truy cập tới URL http://www.malwareanalysisbook.com/ad.html sau đó kết thúc thực thi.Mã độc không gây thay đổi nào trên hệ thống. Đây là một Adware đơn giản.

Phát hiện

Lab07-02.exe có thể phát hiện bằng signature:

  • 20 byte từ file offset 4209, là đoạn code gọi hàm có địa chỉ [EDX+2Ch] trong giao diện IWebBrowser32.

lab77

  • 20 byte từ file offset 12367, là một phần trong string của URL http://www.malwareanalysisbook.com/ad.html

lab78

Gỡ bỏ

Chỉ cần xóa file thực thi của mã độc

lab79

XEM THÊM: Phân tích, phát hiện, gỡ bỏ mã độc Lab06 đầy đủ  TẠI ĐÂY

Quý khách hàng cần tư vấn hỗ trợ về dịch vụ, giải pháp hoặc sản phẩm vui lòng liên hệ:

Website: https://securitybox.vn

Hotline: (+84)982.593.866 (Mr.Cuong)

Email: info@securitybox.vn

Địa chỉ: Tầng 9, 459 Đội Cấn, quận Ba Đình, thành phố Hà Nội.

Trần Trung Dũng

15 chủ đề

2610 bài viết

Có thể bạn quan tâm
0
Các chủ đề đang được quan tâm
phần mềm lập trình php | lập trình web php + mysql | khóa học lập trình php | tự học lập trình php | học php cơ bản thachpham | Code24h | Cho thuê phòng trọ hà nội | Cho thuê phòng trọ bình thạnh | Cho thuê phòng trọ | Cho thuê nhà trọ
Đăng ký

Đăng ký nhận thông báo

Các bài học thú vị sẽ được gửi đến inbox của bạn

HỖ TRỢ HỌC VIÊN
VỀ CODE24H
HỢP TÁC VÀ LIÊN KẾT
KẾT NỐI VỚI CHÚNG TÔI
TẢI ỨNG DỤNG TRÊN ĐIỆN THOẠI

CCode 24h, code mọi lúc, mọi nơi

© Copy right 2018 - 2024