Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab06-02

Phân tích mã độc Lab06-02 trong cuốn Practical Malware Analysis của Andrew Honig và Michael Sikorski (https://nostarch.com/malware)

Mẫu mã độc của Lab06-02 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

Lab06-02.exe thực hiện các thao tác:

• Kiểm tra kết nối Internet trên hệ thống. Nếu có kết nối Internet, in ra màn hình kết quả “Success: Internet Connection”; nếu không có kết nối Internet, in ra màn hình kết quả “Error 1.1: No Internet”
• Nếu hệ thống có kết nối Internet, thực hiện truy vấn tới URL “http://www.practicalmalwareanalysis.com/cc.htm” với UA là “Internet Explorer 7.5/pma”. Nếu kết nối tới URL trên không thành công, in ra màn hình kết quả “Error 2.1: Fail to OpenUrl”

• Nếu kết nối URL thành công, đọc 200 byte đầu tiên của file cc.htm. Nếu lỗi đọc file, in ra màn hình kết quả “Error 2.2: Fail to ReadFile”.
• So sánh 4 byte đầu tiên trong dữ liệu đọc được với chuỗi “<!–”, nếu không trùng khớp, in ra màn hình kết quả “Error 2.3: Fail to get command”

• Nếu 4 byte đầu tiên trong dữ liệu đọc từ file cc.htm trùng với chuỗi “<!–” (mở đầu HTML comment), in ra màn hình thông báo “Success: Parsed command is ” và ký tự đầu tiên trong HTML comment
• Sleep 60s và kết thúc thực thi.

Xem Thêm: Phân tích mã độc Lab 06-01

Phát hiện

Lab06-02.exe có thể phát hiện bằng signature:

• 20 byte tính từ fileoffset 4332 (10ECh), là đoạn code so sánh 4 byte dữ liệu đọc từ cc.htm với chuỗi mở đầu HTML comment (“<!–”)

• 20 byte tính từ fileoffset 4454 (1166h), là đoạn cuối hàm main

Gỡ bỏ

Chỉ cần xóa file Lab06-02.exe

Đọc toàn bộ những phân tích về mã độc của chuyên gia an ninh mạng SecurityBox Tại Đây