Phân tích mẫu Malware nguy hiểm trong thời gian gần đây

155

Danh mục các file, Khóa Registry, Service mã độc tạo trên hệ thống

Các tệp tin mà malware tạo ra:

C:\Program Files (x86)\Common Files\McAfee\McAfee.exe

C:\Program Files (x86)\Common Files\McAfee\McUtil.dll

C:\Program Files (x86)\Common Files\McAfee\McUtil.dll.mc

(C:\Program Files (x86)\Common Files\ => %programfiles(x86)%\Common Files\)

Hoặc thư mục

C:\Program Files (x86)\Common Files\Symantes\McAfee.exe

C:\Program Files (x86)\Common Files\Symantes\McUtil.dll

C:\Program Files (x86)\Common Files\Symantes\McUtil.dll.mc

Và thêm 2 – 3 file có tên ngẫu nhiên chứa các phím keylog lưu lại, ảnh chụp màn hình (đã được mã hóa.)


Các khóa registry được đăng ký:

(Khóa run khởi động theo windows)

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Name: McAfee OEM modules Manuafacturer:McAfee, Inc.
C:\program files (x86)\common files\mcafee\mcafee.exe

Khóa services khởi động Cấp service

HKLM\System\CurrentControlSet\Services
name :McAfee Email Proxy Service               McAfee, Inc.
C:\program files (x86)\common files\mcafee\mcafee.exe

Hoạt động của mã độc này

Tin tặc xây dựng mã độc sử dụng kỹ thuật dựa trên sự thiếu sót trong việc xác thực thư viện McUtil.dll trước khi load của file exe McAfee.exe (là file có chữ ký số xác thực của hãng bảo mật McAfee – Symantect).

 

Với file McUtil.dll là thư viện của mã độc sẽ patch lại đoạn chương trình phía sau hàm loadlibrary. Để điều khiển luồng hoạt động của chương trình về dll này và nạp McUtil.dll.mc tiếp tục tự giải mã và thực thi code chính của mã độc là một dll thứ 4.

2

Hoạt động chính của mã độc:

3

Như vậy sau khi kết thúc mã độc có thể sẽ chỉ còn lại 2 system process đã bị inject:

4

Các mã lệnh, hành vi của mã độc:

– DISK: Liệt kê các file trên ổ đĩa, chỉnh sửa các file, thực thi các file.

–  KEYLOGGER: bật tắt keylogger

–  NetHood: liệt kê các máy tính và các file, thư mục chia sẻ trong mạng LAN

–  Netstat: thống kê các kết nối của máy tính.

–  Option: Khởi động lại, logout, tắt máy,hiển thị MessageBox …..

–  PortMap:

–   Proccess: liệt kê process, modules, terminate process

–   Regedit : Liệt kê, tạo xóa registry.

–   Screen : chụp ảnh màn hình

–   Service: Lấy thông tin về các service, thay đổi cài dặt, xóa, sửa, bật tắt service

–   Shell: Tạo pipe, remote cmd.

–   SQL: các hàm liệt kê các drivers của SQL,các CSDL sql trên máy, thực thi các câu lệnh SQL.

–   Telnet: Tạo kết nối telnet

Máy chủ điều khiển của mã độc

Các tên miền chính: playball.ddns.info; nvedia.ddns.info; air.dcsvn.org.

Kiểm tra và tìm kiếm

Vì kết khi kết thúc giai đoạn hoạt động ban đầu thì mã độc chỉ để lại các process hệ thông đã bị inject code nên việc tìm kiếm có thể dựa vào viêc kiểm tra file tại thư mục của mã độc. Thư mục này có thể bị ẩn

Hoặc dựa vào các khóa registry startup, service tại services.msc.

Nếu trên máy không cài phần mềm diệt virus McAfee mà lại có service của McAfee thì khả năng nhiễm cao

Nếu tìm thấy thư mục chứa các file khả nghi. Có thể kiểm tra lại hash, hoặc dựa vào dung lượng file McUtil.dll < 4kb, có thêm 2,3 file tên ngẫu nghiên thì nên lập tức liên hệ phòng An Ninh Thông Tin