Phân tích Trojan - Downloader
Trong bài viết này mình sẽ giới thiệu khái quát về trojan - Downloader cũng như phân tích một mẫu trojan - Downloader để giúp các bạn hiểu và có cái nhìn trực quan hơn về loại mã độc này.
Giới thiệu về Trojan – Downloader
Loại mã độc này được cài đặt vào máy sẽ chờ đợi cho đến khi máy có kết nối mạng. Khi đó mã độc sẽ tải phần mềm độc hại vào máy tính. Phần mềm độc hại thường là loại virus backdoor…
Cơ chế xâm nhập vào máy victim:
Trojan – Downloader có thể được đính kèm trong thư rác, giả mạo các chương trình hoặc tài liệu thường dùng như hóa đơn, phần mềm quét rác máy tính. … Kẻ tấn công làm việc này để ẩn giấu mã độc, lừa người chạy mã độc vì nếu người dùng không chú ý kỹ sẽ bị nhầm lẫn với file hệ thống.
Cơ chế hoạt động
Đây là mẫu malware thực hiện khá nhiều hành vi khác nhau , tuy nhiên trong khuôn khổ bài viết, mình chỉ đi phân tích hành vi tải mã độc từ server của mẫu này. Cơ chế tải mã độc từ server:
Lấy thông tin cấu hình máy:
Trojan – Downloader thực hiện lấy thông tin cấu hình máy (địa chỉ IP ) để phục vụ thông tin gửi lên server. Mã độc thực hiện kết nối đến các domain Microsoft.com, Update.microsoft.com, Bing.com, Google.com, Yahoo.com
Lấy thời gian từ server:
Trojan – Downloader sử dụng socket để thực hiện hành vi kết nối đến các host với cổng 123 (NTP) : europe.pool.ntp.org, north -america.pool.ntp.org, south-america.pool.ntp.org, asia.pool.ntp.org, oceania.pool.ntp.org, africa.pool.ntp.org, pool.ntp.org để lấy thời gian từ server.
Hình 2: Lấy Time Server
Inject process msiexec.exe
Trojan – Downloader tạo tiến trình msiexec.exe rồi inject code vào tiến trình.
Hình 3: inject process msiexec.exe
Disable Service: Trojan – Downloader vô hiệu hóa thông báo trên hệ điều hành
Disable các service bị disabse trên win xp
Tải mã độc về từ server về máy:
Trojan – Downloader tải mã độc về máy rồi thực hiện chạy mã độc để ăn cắp thông tin, dữ liệu.
Trên đây là bài phân tích của mình, bài viết còn nhiều thiếu sót, rất mong được sự góp ý của các bạn!
Giới thiệu về Trojan – Downloader
Loại mã độc này được cài đặt vào máy sẽ chờ đợi cho đến khi máy có kết nối mạng. Khi đó mã độc sẽ tải phần mềm độc hại vào máy tính. Phần mềm độc hại thường là loại virus backdoor…
Cơ chế xâm nhập vào máy victim:
Trojan – Downloader có thể được đính kèm trong thư rác, giả mạo các chương trình hoặc tài liệu thường dùng như hóa đơn, phần mềm quét rác máy tính. … Kẻ tấn công làm việc này để ẩn giấu mã độc, lừa người chạy mã độc vì nếu người dùng không chú ý kỹ sẽ bị nhầm lẫn với file hệ thống.
Cơ chế hoạt động
Đây là mẫu malware thực hiện khá nhiều hành vi khác nhau , tuy nhiên trong khuôn khổ bài viết, mình chỉ đi phân tích hành vi tải mã độc từ server của mẫu này. Cơ chế tải mã độc từ server:
- Lấy thông tin cấu hình máy (địa chỉ IP)
- Lấy thời gian từ server
- Inject process
- Disable Service
- Tải mã độc từ server
- Thực thi mã độc
Lấy thông tin cấu hình máy:
Trojan – Downloader thực hiện lấy thông tin cấu hình máy (địa chỉ IP ) để phục vụ thông tin gửi lên server. Mã độc thực hiện kết nối đến các domain Microsoft.com, Update.microsoft.com, Bing.com, Google.com, Yahoo.com
Hình 1: Lấy địa chỉ IP máy
Lấy thời gian từ server:
Trojan – Downloader sử dụng socket để thực hiện hành vi kết nối đến các host với cổng 123 (NTP) : europe.pool.ntp.org, north -america.pool.ntp.org, south-america.pool.ntp.org, asia.pool.ntp.org, oceania.pool.ntp.org, africa.pool.ntp.org, pool.ntp.org để lấy thời gian từ server.
Hình 2: Lấy Time Server
Inject process msiexec.exe
Trojan – Downloader tạo tiến trình msiexec.exe rồi inject code vào tiến trình.
Hình 3: inject process msiexec.exe
Disable Service: Trojan – Downloader vô hiệu hóa thông báo trên hệ điều hành
Disable các service bị disabse trên win xp
- wscsvc
- wuauserv
- SharedAccess
- wscsvc
- wuauserv
- MpsSvc
- WinDefend
Hình 4: set key và disable service
Hình 5: Disable service
Tải mã độc về từ server về máy:
Trojan – Downloader tải mã độc về máy rồi thực hiện chạy mã độc để ăn cắp thông tin, dữ liệu.
- Thực hiện connect đến http://ringplanet.eu/srvr/htmlpurifi...stem4_1030.php, rồi tải nội dung về.
- Nếu file tải về là file thực thi trojan – downloader sẽ thực hiện chạy file
Hình 6: Download file
Hình 7: Chạy file virus
- Nếu file tải về là file DLL: thực hiện đăng ký DLL
Hình 8: Thực hiện đăng ký DLL
Trên đây là bài phân tích của mình, bài viết còn nhiều thiếu sót, rất mong được sự góp ý của các bạn!
Chỉnh sửa lần cuối bởi người điều hành:
