Phân tích virus tự động bật trình duyệt để chạy quảng cáo

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 25/05/18, 12:05 AM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 304
    Đã được thích: 148
    Điểm thành tích:
    43
    Đã bao giờ máy tính của các bạn bị hiện tượng "Cứ sau một khoảng thời gian, trình duyệt của bạn tự động bật lên và hiển thị các nội dung quảng cáo, xxx...". Nếu gặp phải hiện tượng này thì máy của bạn đã bị nhiễm virus rồi nhé :D. Các bạn hãy theo dõi bài viết để xem chi tiết hoạt động của loại virus này cũng như cách gỡ bỏ nó như thế nào nhé :D.

    Phân tích hành vi

    Đường dẫn mẫu thực tế: C:\Program Files\8NXBUWKT4X\8NXBUWKT4.exe
    upload_2018-5-24_8-26-33.png

    Có thể thấy thông tin sơ bộ về mẫu virus này là: Được code bằng ngôn ngữ C#, không bị pack, tên thư mục và tên file có vẻ được tạo ngẫu nhiên.

    upload_2018-5-24_8-33-6.png
    Tiếp tục đi xâu vào quá trình phân tích. Trên là đoạn code chính của virus, dễ dàng nhìn thấy rằng virus đọc data trong resource (Ytttttttt.dzdfczefez44) và giải mã base64 rồi thực thi code trong đó. Tiến hành làm theo đoạn code trên và kết quả đã giải mã được một PE file.

    upload_2018-5-24_8-44-16.png

    Thật là may, file PE giải mã được có code cực kỳ rõ ràng nhất, không còn các hành vi che giấu...
    Phân tích file này, code main rất đơn giản, nó gọi một hàm của đối tượng wizzcasterManager

    upload_2018-5-24_23-28-32.png

    Đi sâu vào hàm khởi tạo của đối tượng và hàm PerformWork tìm được đoạn code quan trọng nhất như hình bên dưới. Virus sẽ nhận danh sách đomain để chạy quảng cáo và ngủ ngẫn nhiên từ 1- 5 phút( mình đã fix từ 60000ms*num còn 60ms*num để dễ debug :D) tiếp đó nó check nếu máy tính không bật taskmanager(tiến trình xem các danh sách process đang chạy) để chạy trình duyệt với tham số domain quảng cáo thông qua hàm start().

    upload_2018-5-24_23-32-6.png


    upload_2018-5-24_8-47-31.png


    Dưới đây là một đoạn video demo ngắn ngọn phân tích file virus này để các bạn thấy được quá trình virus tự động bật trình duyệt để chạy các quảng cáo


    Làm cách nào để gỡ bỏ virus này?
    Loại virus này thường hay ở các đường dẫn C:\Program Files, C:\Program Files (x86) với các tên thư mục ngẫu nhiên như hình bên dưới. Các bạn có thể rà soát máy mình nếu có các tên file và tên thư mục đặc trưng như vậy có thể xóa bỏ chúng.
    upload_2018-5-25_0-9-26.png

    Một cách khác, khi có hiện tượng trình duyệt tự động bật hiên thị các nội dung gây khó chịu mà không do bạn thao tác. Bạn đừng tắt trình duyệt vội, hãy sử dụng công cụ Process Exploer(https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) để hiện thị danh sách các tiến trình, bạn xem tiến trình cha của trình duyệt là process nào và từ đó tìm nó để kill và xóa file.

    upload_2018-5-25_0-15-5.png

    Cảm ơn các bạn đã đọc bài viết. Chúc các bạn một ngày vui vẻ...!!!
     

    Các file đính kèm:

    Chỉnh sửa cuối: 25/05/18, 12:05 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. hainhc

    hainhc W-------

    Tham gia: 25/01/16, 03:01 PM
    Bài viết: 23
    Đã được thích: 14
    Điểm thành tích:
    3
    mod vất vả quá đêm hôm còn viết bài cho ae {6}
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    sunny thích bài này.
  3. WhoLetTheDogOut

    WhoLetTheDogOut New Member

    Tham gia: 25/05/18, 11:05 PM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Bài viết rất hữu ích. Bạn có thể chia sẻ tool bạn sử dụng được không. Mình dùng dotPeek thấy không được như thế, mình mới tập Reverse mấy file .NET
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 304
    Đã được thích: 148
    Điểm thành tích:
    43
    Mình dùng dnspy bạn nhé. Tool này rất hữu ích. có thể sửa code trực tiếp luôn
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan