Tổng quan về con malware mới trên Facebook
Tên tập tin có dạng: video_XXX.zip hoặc sex_video_XXX.zipGiải nén file ZIP này ra sẽ được một tập tin có tên dạng: Video.XXX.mp4.exe
Trong đó, XXX là các số ngẫu nhiên.
Tỉ lệ phát hiện từ VirusTotal: 32/68
Dựa theo tên định danh của một số AV và kết quả phân tích của ExeInfo PE thì tập tin EXE này được viết bằng AutoIt.
Theo thông tin hành vi của con malware được phân tích bởi VirusTotal, ta có thể thấy một số hành động khả nghi:
- Tạo ra một tập tin với tên GoogleUpdater.exe - chúng ta có thể thấy tên này giả mạo trình cập nhật của trình duyệt Google Chrome.
- Thực thi lệnh để mở trình duyệt Chrome với những tham số đặc biệt, trong đó có thể thấy con malware này vô hiệu thanh hiển thị thông tin của Chrome và cài đặt thêm một extension mới.
- Thực hiện một truy vấn HTTP tới một URL được chỉ định, sử dụng một User-Agent tùy chỉnh ("Miner"). Nghe đã thấy có vẻ dính dáng gì đó tới việc đào tiền ảo. Nhất là khi dạo này BitCoin đang khá là hot.
Dựa theo báo cáo tạo ra bởi Falcon Sandbox (v7.20) - Hybrid Analysis, chúng ta có thêm những thông tin sau:
Quá nhiều thông tin chỉ ra rằng con malware này quả nhiên có sử dụng máy nạn nhân để đào tiền ảo.
Phân tích chi tiết malware: Downloader
Như thông tin chúng ta đã có được thì con malware này được viết bằng ngôn ngữ AutoIt (đáng buồn khi đây là một trong những ngôn ngữ tớ thích). Thực hiện việc dịch ngược bằng các công cụ phổ biến. Chúng ta có được mã nguồn đã bị Obfuscate.
Tớ không mất nhiều thời gian lắm cho việc deobfuscate bằng cách tận dụng chính một hàm trong mã nguồn của con malware.
No comments