Phân tích virus tự động bật trình duyệt để chạy quảng cáo

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Phân tích virus tự động bật trình duyệt để chạy quảng cáo
Đã bao giờ máy tính của các bạn bị hiện tượng "Cứ sau một khoảng thời gian, trình duyệt của bạn tự động bật lên và hiển thị các nội dung quảng cáo, xxx...". Nếu gặp phải hiện tượng này thì máy của bạn đã bị nhiễm virus rồi nhé :D. Các bạn hãy theo dõi bài viết để xem chi tiết hoạt động của loại virus này cũng như cách gỡ bỏ nó như thế nào nhé :D.

1704769575625.png

Phân tích hành vi

Đường dẫn mẫu thực tế: C:\Program Files\8NXBUWKT4X\8NXBUWKT4.exe

upload_2018-5-24_8-26-33.png

Có thể thấy thông tin sơ bộ về mẫu virus này là: Được code bằng ngôn ngữ C#, không bị pack, tên thư mục và tên file có vẻ được tạo ngẫu nhiên.

upload_2018-5-24_8-33-6.png


Tiếp tục đi xâu vào quá trình phân tích. Trên là đoạn code chính của virus, dễ dàng nhìn thấy rằng virus đọc data trong resource (Ytttttttt.dzdfczefez44) và giải mã base64 rồi thực thi code trong đó. Tiến hành làm theo đoạn code trên và kết quả đã giải mã được một PE file.

upload_2018-5-24_8-44-16.png

Thật là may, file PE giải mã được có code cực kỳ rõ ràng nhất, không còn các hành vi che giấu...
Phân tích file này, code main rất đơn giản, nó gọi một hàm của đối tượng wizzcasterManager

upload_2018-5-24_23-28-32.png

Đi sâu vào hàm khởi tạo của đối tượng và hàm PerformWork tìm được đoạn code quan trọng nhất như hình bên dưới. Virus sẽ nhận danh sách đomain để chạy quảng cáo và ngủ ngẫn nhiên từ 1- 5 phút( mình đã fix từ 60000ms*num còn 60ms*num để dễ debug :D) tiếp đó nó check nếu máy tính không bật taskmanager(tiến trình xem các danh sách process đang chạy) để chạy trình duyệt với tham số domain quảng cáo thông qua hàm start().

upload_2018-5-24_23-32-6.png


upload_2018-5-24_8-47-31.png

Dưới đây là một đoạn video demo ngắn ngọn phân tích file virus này để các bạn thấy được quá trình virus tự động bật trình duyệt để chạy các quảng cáo


Làm cách nào để gỡ bỏ virus này?

Loại virus này thường hay ở các đường dẫn C:\Program Files, C:\Program Files (x86) với các tên thư mục ngẫu nhiên như hình bên dưới. Các bạn có thể rà soát máy mình nếu có các tên file và tên thư mục đặc trưng như vậy có thể xóa bỏ chúng.

upload_2018-5-25_0-9-26.png

Một cách khác, khi có hiện tượng trình duyệt tự động bật hiên thị các nội dung gây khó chịu mà không do bạn thao tác. Bạn đừng tắt trình duyệt vội, hãy sử dụng công cụ Process Exploer(https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) để hiện thị danh sách các tiến trình, bạn xem tiến trình cha của trình duyệt là process nào và từ đó tìm nó để kill và xóa file.

upload_2018-5-25_0-15-5.png

Cảm ơn các bạn đã đọc bài viết. Chúc các bạn một ngày vui vẻ...!!!
 
Chỉnh sửa lần cuối bởi người điều hành:
mod vất vả quá đêm hôm còn viết bài cho ae {6}
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: sunny
Comment
Bài viết rất hữu ích. Bạn có thể chia sẻ tool bạn sử dụng được không. Mình dùng dotPeek thấy không được như thế, mình mới tập Reverse mấy file .NET
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bài viết rất hữu ích. Bạn có thể chia sẻ tool bạn sử dụng được không. Mình dùng dotPeek thấy không được như thế, mình mới tập Reverse mấy file .NET
Mình dùng dnspy bạn nhé. Tool này rất hữu ích. có thể sửa code trực tiếp luôn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình không tìm thấy các thư mục như trên thì phải làm sao?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình không tìm thấy các thư mục như trên thì phải làm sao?
Bạn có thể dùng tool process xp xem tiến trình nào bật trình duyệt nhé bạn. Từ tool process xp xem được đường dẫn thư mục
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
phân tích virus
Bên trên