Nhờ pro hỗ trợ phân tích mã độc
Chào anh/chị/em,
Em đang tập tành phân tích mã độc, đến đoạn khó đang không biết làm như nào đành lên đây nhờ mọi người tư vấn giúp.
Khi em chạy thử con malware đó thì thấy nó tạo ra 2 tiến trình mới, lấy tên là winupdate.exe và windowsvideos.exe, 2 tiến trình được set khởi động cùng hệ điều hành
Kiểm tra trong process monitor thì thấy tiến trình windowsvideos.exe tự ghi nội dung vào file bpk.dat hoặc web.dat mỗi khi mình dùng trình duyệt hay soạn thảo gì đó, nên em nghi nó là key logger. Khi e mở thử để xem nội dung file .bat thì toàn ký tự lạ (em nghĩ đã bị mã hóa), hình ảnh em nó như sau ạ:
Em có dùng apateDNS để xem những url nào được kết nối tới thì chỉ thấy có địa chỉ ftp như trong hình và 1 địa chỉ email
Note: Do không đính kèm file .bat lên diễn đàn được nên em xin phép copy nội dung em nó vào đây nhé ạ, hi vọng có anh/chị nào giúp em giải mã nội dung bên trong nó
web.bat
š“…š™…˜šŠ››žž˜šŠˆËÈÅßÞÂÅÇψ
ˆçÅÐÃÆÆËŠìÃØÏÌÅÒŠùÞËØÞŠúËÍψ
š“…š™…˜šŠ››žŸš˜ŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÉÅÄÍÂÅËÒËÂÅÃÉÂßÄÍÂÃËÜÃÏÞÄËÇŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÌÌÆȈ
ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
š“…š™…˜šŠ››žŸ™˜ŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÎÅÉÆËÚÞßÎÅÂËÄÂÚÂÉÓߌÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÌÌÆȈ
ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
š“…š™…˜šŠ››žŸŸŸŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÂÅݘšÞŘšÂËÉÁ˜šÞÂÃÙ˜šÙÃÞÏŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÄÚŒÙÅßØÉÏ—ÂÚˆ
ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
š“…š™…˜šŠ›Ÿš™˜ŸŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗ˜žÂ„ÉÅÇ„ÜÄŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÄÚŒÙÅßØÉÏ—ÂÚˆ
ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
Em cảm ơn nhiều ạ, newbie nên mọi người đừng cười e nhá
Em đang tập tành phân tích mã độc, đến đoạn khó đang không biết làm như nào đành lên đây nhờ mọi người tư vấn giúp.
Khi em chạy thử con malware đó thì thấy nó tạo ra 2 tiến trình mới, lấy tên là winupdate.exe và windowsvideos.exe, 2 tiến trình được set khởi động cùng hệ điều hành
Kiểm tra trong process monitor thì thấy tiến trình windowsvideos.exe tự ghi nội dung vào file bpk.dat hoặc web.dat mỗi khi mình dùng trình duyệt hay soạn thảo gì đó, nên em nghi nó là key logger. Khi e mở thử để xem nội dung file .bat thì toàn ký tự lạ (em nghĩ đã bị mã hóa), hình ảnh em nó như sau ạ:
Em có dùng apateDNS để xem những url nào được kết nối tới thì chỉ thấy có địa chỉ ftp như trong hình và 1 địa chỉ email
Note: Do không đính kèm file .bat lên diễn đàn được nên em xin phép copy nội dung em nó vào đây nhé ạ, hi vọng có anh/chị nào giúp em giải mã nội dung bên trong nó
web.bat
š“…š™…˜šŠ››žž˜šŠˆËÈÅßÞÂÅÇψ
ˆçÅÐÃÆÆËŠìÃØÏÌÅÒŠùÞËØÞŠúËÍψ
š“…š™…˜šŠ››žŸš˜ŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÉÅÄÍÂÅËÒËÂÅÃÉÂßÄÍÂÃËÜÃÏÞÄËÇŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÌÌÆȈ
ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
š“…š™…˜šŠ››žŸ™˜ŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÎÅÉÆËÚÞßÎÅÂËÄÂÚÂÉÓߌÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÌÌÆȈ
ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
š“…š™…˜šŠ››žŸŸŸŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÂÅݘšÞŘšÂËÉÁ˜šÞÂÃÙ˜šÙÃÞÏŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÄÚŒÙÅßØÉÏ—ÂÚˆ
ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
š“…š™…˜šŠ›Ÿš™˜ŸŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗ˜žÂ„ÉÅÇ„ÜÄŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÄÚŒÙÅßØÉÏ—ÂÚˆ
ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ
Em cảm ơn nhiều ạ, newbie nên mọi người đừng cười e nhá