Nhờ pro hỗ trợ phân tích mã độc

Thảo luận trong 'Hỏi đáp' bắt đầu bởi cracker, 03/09/20, 05:09 PM.

  1. cracker

    cracker Active Member

    Tham gia: 04/09/19, 01:09 PM
    Bài viết: 34
    Đã được thích: 4
    Điểm thành tích:
    8
    Chào anh/chị/em,

    Em đang tập tành phân tích mã độc, đến đoạn khó đang không biết làm như nào đành lên đây nhờ mọi người tư vấn giúp.

    Khi em chạy thử con malware đó thì thấy nó tạo ra 2 tiến trình mới, lấy tên là winupdate.exewindowsvideos.exe, 2 tiến trình được set khởi động cùng hệ điều hành

    upload_2020-9-3_16-49-53.png

    Kiểm tra trong process monitor thì thấy tiến trình windowsvideos.exe tự ghi nội dung vào file bpk.dat hoặc web.dat mỗi khi mình dùng trình duyệt hay soạn thảo gì đó, nên em nghi nó là key logger. Khi e mở thử để xem nội dung file .bat thì toàn ký tự lạ (em nghĩ đã bị mã hóa), hình ảnh em nó như sau ạ:

    upload_2020-9-3_17-4-34.png

    Em có dùng apateDNS để xem những url nào được kết nối tới thì chỉ thấy có địa chỉ ftp như trong hình và 1 địa chỉ email
    upload_2020-9-3_17-1-43.png

    Note: Do không đính kèm file .bat lên diễn đàn được nên em xin phép copy nội dung em nó vào đây nhé ạ, hi vọng có anh/chị nào giúp em giải mã nội dung bên trong nó

    web.bat

    š“…š™…˜šŠ››žž˜šŠˆËÈÅßސÂÅÇψ
    ˆçÅÐÃÆÆËŠìÃØÏÌÅÒŠùÞËØÞŠúËÍψ
    š“…š™…˜šŠ››žŸš˜ŠˆÂÞÞÚِ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÉÅÄ́ÂÅˁÒˁÂÅÁÉÂ߁ÄÍÂÃˁÜÃÏށÄËÇŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆːÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÌÌÆȈ
    ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
    š“…š™…˜šŠ››žŸ™˜ŠˆÂÞÞÚِ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÎÅɁÆËځÞ߁ÎŁÂËāÚÂÉÓߌÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆːÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÌÌÆȈ
    ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
    š“…š™…˜šŠ››žŸŸŸŠˆÂÞÞÚِ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÂÅݏ˜šÞŏ˜šÂËÉÁ˜šÞÂÃُ˜šÙÃÞÏŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆːÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÄÚŒÙÅßØÉÏ—ÂÚˆ
    ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
    š“…š™…˜šŠ›Ÿš™˜ŸŠˆÂÞÞÚِ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗ˜žÂ„ÉÅÇ„ÜÄŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆːÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÄÚŒÙÅßØÉÏ—ÂÚˆ
    ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ

    Em cảm ơn nhiều ạ, newbie nên mọi người đừng cười e nhá :D
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 488
    Đã được thích: 223
    Điểm thành tích:
    43
    Nếu là mã độc thì thường file data của nó mã hóa, phải phân tích bằng IDA, Olly mới ra được bạn ạ
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. nam nguyet

    nam nguyet New Member

    Tham gia: 12/08/20, 08:08 AM
    Bài viết: 3
    Đã được thích: 0
    Điểm thành tích:
    1
    giao thuc ftp chay tren cong 21 hoac 23 ban thu dong cong nay vao xem sao ban khong su dung netstat -ano xem ket noi toi may chu cua web kia o cong nao
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: