Phân tích virus tự động bật trình duyệt để chạy quảng cáo
Đã bao giờ máy tính của các bạn bị hiện tượng "Cứ sau một khoảng thời gian, trình duyệt của bạn tự động bật lên và hiển thị các nội dung quảng cáo, xxx...". Nếu gặp phải hiện tượng này thì máy của bạn đã bị nhiễm virus rồi nhé 
. Các bạn hãy theo dõi bài viết để xem chi tiết hoạt động của loại virus này cũng như cách gỡ bỏ nó như thế nào nhé .
Phân tích hành vi
Đường dẫn mẫu thực tế: C:\Program Files\8NXBUWKT4X\8NXBUWKT4.exe
Có thể thấy thông tin sơ bộ về mẫu virus này là: Được code bằng ngôn ngữ C#, không bị pack, tên thư mục và tên file có vẻ được tạo ngẫu nhiên.
Tiếp tục đi xâu vào quá trình phân tích. Trên là đoạn code chính của virus, dễ dàng nhìn thấy rằng virus đọc data trong resource (Ytttttttt.dzdfczefez44) và giải mã base64 rồi thực thi code trong đó. Tiến hành làm theo đoạn code trên và kết quả đã giải mã được một PE file.
Thật là may, file PE giải mã được có code cực kỳ rõ ràng nhất, không còn các hành vi che giấu...
Phân tích file này, code main rất đơn giản, nó gọi một hàm của đối tượng wizzcasterManager
Đi sâu vào hàm khởi tạo của đối tượng và hàm PerformWork tìm được đoạn code quan trọng nhất như hình bên dưới. Virus sẽ nhận danh sách đomain để chạy quảng cáo và ngủ ngẫn nhiên từ 1- 5 phút( mình đã fix từ 60000ms*num còn 60ms*num để dễ debug) tiếp đó nó check nếu máy tính không bật taskmanager(tiến trình xem các danh sách process đang chạy) để chạy trình duyệt với tham số domain quảng cáo thông qua hàm start().
Dưới đây là một đoạn video demo ngắn ngọn phân tích file virus này để các bạn thấy được quá trình virus tự động bật trình duyệt để chạy các quảng cáo
Làm cách nào để gỡ bỏ virus này?
Loại virus này thường hay ở các đường dẫn C:\Program Files, C:\Program Files (x86) với các tên thư mục ngẫu nhiên như hình bên dưới. Các bạn có thể rà soát máy mình nếu có các tên file và tên thư mục đặc trưng như vậy có thể xóa bỏ chúng.
Một cách khác, khi có hiện tượng trình duyệt tự động bật hiên thị các nội dung gây khó chịu mà không do bạn thao tác. Bạn đừng tắt trình duyệt vội, hãy sử dụng công cụ Process Exploer(https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) để hiện thị danh sách các tiến trình, bạn xem tiến trình cha của trình duyệt là process nào và từ đó tìm nó để kill và xóa file.
Cảm ơn các bạn đã đọc bài viết. Chúc các bạn một ngày vui vẻ...!!!
. Các bạn hãy theo dõi bài viết để xem chi tiết hoạt động của loại virus này cũng như cách gỡ bỏ nó như thế nào nhé .Phân tích hành vi
Đường dẫn mẫu thực tế: C:\Program Files\8NXBUWKT4X\8NXBUWKT4.exe
Có thể thấy thông tin sơ bộ về mẫu virus này là: Được code bằng ngôn ngữ C#, không bị pack, tên thư mục và tên file có vẻ được tạo ngẫu nhiên.
Tiếp tục đi xâu vào quá trình phân tích. Trên là đoạn code chính của virus, dễ dàng nhìn thấy rằng virus đọc data trong resource (Ytttttttt.dzdfczefez44) và giải mã base64 rồi thực thi code trong đó. Tiến hành làm theo đoạn code trên và kết quả đã giải mã được một PE file.
Thật là may, file PE giải mã được có code cực kỳ rõ ràng nhất, không còn các hành vi che giấu...
Phân tích file này, code main rất đơn giản, nó gọi một hàm của đối tượng wizzcasterManager
Đi sâu vào hàm khởi tạo của đối tượng và hàm PerformWork tìm được đoạn code quan trọng nhất như hình bên dưới. Virus sẽ nhận danh sách đomain để chạy quảng cáo và ngủ ngẫn nhiên từ 1- 5 phút( mình đã fix từ 60000ms*num còn 60ms*num để dễ debug
) tiếp đó nó check nếu máy tính không bật taskmanager(tiến trình xem các danh sách process đang chạy) để chạy trình duyệt với tham số domain quảng cáo thông qua hàm start().Dưới đây là một đoạn video demo ngắn ngọn phân tích file virus này để các bạn thấy được quá trình virus tự động bật trình duyệt để chạy các quảng cáo
Làm cách nào để gỡ bỏ virus này?
Loại virus này thường hay ở các đường dẫn C:\Program Files, C:\Program Files (x86) với các tên thư mục ngẫu nhiên như hình bên dưới. Các bạn có thể rà soát máy mình nếu có các tên file và tên thư mục đặc trưng như vậy có thể xóa bỏ chúng.
Một cách khác, khi có hiện tượng trình duyệt tự động bật hiên thị các nội dung gây khó chịu mà không do bạn thao tác. Bạn đừng tắt trình duyệt vội, hãy sử dụng công cụ Process Exploer(https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer) để hiện thị danh sách các tiến trình, bạn xem tiến trình cha của trình duyệt là process nào và từ đó tìm nó để kill và xóa file.
Cảm ơn các bạn đã đọc bài viết. Chúc các bạn một ngày vui vẻ...!!!
Chỉnh sửa lần cuối bởi người điều hành:
