Chào anh/chị/em, Em đang tập tành phân tích mã độc, đến đoạn khó đang không biết làm như nào đành lên đây nhờ mọi người tư vấn giúp. Khi em chạy thử con malware đó thì thấy nó tạo ra 2 tiến trình mới, lấy tên là winupdate.exe và windowsvideos.exe, 2 tiến trình được set khởi động cùng hệ điều hành Kiểm tra trong process monitor thì thấy tiến trình windowsvideos.exe tự ghi nội dung vào file bpk.dat hoặc web.dat mỗi khi mình dùng trình duyệt hay soạn thảo gì đó, nên em nghi nó là key logger. Khi e mở thử để xem nội dung file .bat thì toàn ký tự lạ (em nghĩ đã bị mã hóa), hình ảnh em nó như sau ạ: Em có dùng apateDNS để xem những url nào được kết nối tới thì chỉ thấy có địa chỉ ftp như trong hình và 1 địa chỉ email Note: Do không đính kèm file .bat lên diễn đàn được nên em xin phép copy nội dung em nó vào đây nhé ạ, hi vọng có anh/chị nào giúp em giải mã nội dung bên trong nó web.bat š“…š™…˜šŠ››žž˜šŠˆËÈÅßÞÂÅÇψ ˆçÅÐÃÆÆËŠìÃØÏÌÅÒŠùÞËØÞŠúËÍψ š“…š™…˜šŠ››žŸš˜ŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÉÅÄÍÂÅËÒËÂÅÃÉÂßÄÍÂÃËÜÃÏÞÄËÇŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÌÌÆÈˆ ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ š“…š™…˜šŠ››žŸ™˜ŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÎÅÉÆËÚÞßÎÅÂËÄÂÚÂÉÓߌÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÌÌÆÈˆ ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ š“…š™…˜šŠ››žŸŸŸŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗÂÅݘšÞŘšÂËÉÁ˜šÞÂÃÙ˜šÙÃÞÏŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÄÚŒÙÅߨÉÏ—ÂÚˆ ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ š“…š™…˜šŠ›Ÿš™˜ŸŠˆÂÞÞÚÙ……ÝÝÝ„ÍÅÅÍÆÏ„ÉÅÇ…ÙÏËØÉ•ۗ˜žÂ„ÉÅÇ„ÜÄŒÃÏ—ßÞ̇’ŒÅÏ—ßÞ̇’ŒËÛ—ÞŒØÆÙ—ÅØÍ„ÇÅÐÃÆÆËÏćÿùÅÌÌÃÉÃËÆŒÉÆÃÏÄÞ—ÌÃØÏÌÅ҇ˌÉÂËÄÄÏÆ—ÄÚŒÙÅߨÉÏ—ÂÚˆ ˆúØÅÈÆÏÇŠÆÅËÎÃÄÍŠÚËÍψ Em cảm ơn nhiều ạ, newbie nên mọi người đừng cười e nhá
giao thuc ftp chay tren cong 21 hoac 23 ban thu dong cong nay vao xem sao ban khong su dung netstat -ano xem ket noi toi may chu cua web kia o cong nao