English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Nhờ các bác kiểm tra giúp con malware này có ý định gì?  XML
  [Discussion]   Nhờ các bác kiểm tra giúp con malware này có ý định gì? 23/10/2013 14:34:23 (+0700) | #1 | 278838
camazalraman
Member
[Minus]    0    [Plus]
Joined: 19/05/2004 01:57:32
Messages: 23
Offline
[Profile] [PM]
Từ một máy laptop của thằng ku em, nó kêu có cái file lạ. Minh xin nó cái file đấy và "đút" vô cho chú chim Cuckoo "nhai".

File lạ có tên Data.pif
http://www.mediafire.com/download/5dwnv1px5m6y9z4/Data.rar

Sau khi cho chạy qua Cuckoo thì kết quả như sơ lược như sau
Kết nối đến host: trieutrung.no-ip.org
Droped xuống 2 file: aut1.tmp và temp.tmp
Sinh ra một loạt file, nhưng khả nghi nhất là file: spooler.exe
Chi tiết hơn thì mình gửi luôn kết quả phân tích của cuckoo.
http://www.mediafire.com/download/eat1ee3urlrez8y/10.rar

Lúc này, spooler.exe chạy như một service trong Service Manager của Windows. Cho Cuckoo "nhai" tiếp spooler.exe
http://www.mediafire.com/download/cznyj2fkzb1k5g9/spooler.zip
Kết nối đến host: trieutrung.no-ip.org
Chi tiết phân tích đây nhé
http://www.mediafire.com/download/xmlgb1i6dw30728/12.rar

Bác nào giúp phân tích tiếp xem mục đích của chú malware này định làm gì?
Thanks
[Up] [Print Copy]
  [Discussion]   Nhờ các bác kiểm tra giúp con mailware này có ý định gì? 23/10/2013 14:58:36 (+0700) | #2 | 278839
camazalraman
Member
[Minus]    0    [Plus]
Joined: 19/05/2004 01:57:32
Messages: 23
Offline
[Profile] [PM]
Mod xoá giúp mình một bài gửi nhé, gửi bài cho HVA toàn bị time out nên không biết đã gửi được một bài thành công.
[Up] [Print Copy]
  [Discussion]   Nhờ các bác kiểm tra giúp con malware này có ý định gì? 08/05/2014 12:03:33 (+0700) | #3 | 280575
hoangcuongflp
Member
[Minus]    0    [Plus]
Joined: 21/03/2014 06:42:47
Messages: 24
Offline
[Profile] [PM]
Malware của anh bị nhiễm được viết bằng autoIT, nếu muốn tìm hiểu về malware analysis thì anh cố gắng đọc lại từ đầu nhé.

Đây là mã nguồn của file được anh gửi lên. Anh đọc mã nguồn, nếu có gì không hiểu thì hỏi tiếp.

https://www.dropbox.com/s/1uk1a6m8gru20qu/Data.pif%20hva.rar
Mình là 1 con gà trong công nghệ.
Nếu mình có nói gì làm bạn không vui thì mong bạn bỏ qua cho, vì cá nhân mình còn gà lắm, và mình có ý tốt thôi.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|