Phân tích, phát hiện và gỡ bỏ mã độc Practical Malware Analysis Lab15-03

Phân tích mã độc Lab15-03 trong cuốn sách Practical Malware Analysis

Practical Malware Analysis: https://nostarch.com/malware

Mẫu mã độc của Lab15-03 có thể tải về từ: https://github.com/mikesiko/PracticalMalwareAnalysis-Labs

Phân tích

Mã độc tải URL http://www.practicalmalwareanalysis.com/tt.html và lưu nội dung vào file spoolsrv.exe, chạy file spoolsrv.exe sau đó kết thúc thực thi.

Các giá trị URL và filename được giải mã thông qua một hàm XOR với  XOR key là 0x0FF

Giải mã đoạn hex code chứa các giá trị URL và filename bằng công cụ Hex Operations của 010 Editor.

PHÂN TÍCH, PHÁT HIỆN VÀ GỠ BỎ MÃ ĐỘC PRACTICAL MALWARE ANALYSIS LAB15-02

Phát hiện

20 byte từ file offset 0x100C, đoạn sửa return pointer

20 byte từ file offset 0x1504, đoạn push tham số đầu vào và gọi hàm URLDownloadToFileA

Gỡ bỏ

• Xóa file thực thi của mã độc
• Cố gắng kill process và xóa file spoolsrv.exe trong thư mục chứa file thực thi của mã độc

XEM THÊM: Chuyên đề Phân Tích Mã Độc