Phân tích mẫu virus lây file cụ thể Win32/Expiro Phân tích mẫu virus lây file cụ thể Win32/Expiro – P1  !" #$%&$'())*+', - Chuẩn bị môi trường 1. ./0'$1+2(+34567-8$9'7:+!.;-<=(+> '$1+?@7:+A'B"+CD' EF$:%GE+:)C- 2. H  $$    '9  I  (J  *  + D'! - K  '(- K LM;5NH- K  O+ (PP- 3. .$ '9#OQR'J1:+ H G+- 4. .C5+ 8+* +(S$&AA-TA>  +(S >I(J5+ 8++B EJU V- 5. .$&A(  ( ' !LHWXYHN5+ Giai đoạn theo dõi Z>+'$1+?>V$EJ*(D( FC['E\C>-.C5+ 8+?C', >>])F$A^ 5+ 8+ + ',_C`267-;K+- K a^  +`b F'[2 ^ a- @QA267-;K+c +'J%$ '9H G+[-  +[+)(R$ '9QH G+* (  ?- M[G])[ +>])'B"E) ! 1. MC$',c0(+C_$[-bE C',- K `Z*dBK$>', &e'C+]"$+f$',aI(J ',*JJF$A(  +-8JV) I(J - K 0D'*JJF$A(  (+! o .c?>VE ">!G[ $0$\+5;g o HD(+$]G$)f *"B(  ?& 2. hCC$+'$1+[GC',? +',_#`- K a+'E\- 3. +C +(Sc#', #'B>OV?*JJ+F$A (D(?&- 5', J*267i;K+j57 Giai đoạn phân tích UI(J<+(5;K 'Kk]G$)f - K [ G!M:G[ :'B"B ! N(( ;5+  ' LlU + Um LlY' Um LlUGn   Um Llo n   8p+Y' T +8 +Y' T +W+(Y'+g T)+$$\*A']:[G_ ( ?&- qQBLHWXYHN5+])+(&A- K c Q[[-M[>A'#*'O G+"[     F'[$N5Y! ^(^^ `Nr2a ^( K^ `Nr2aL ^ n (^ .  ^ 2 ^ <+N+g- .?$*(_CC$N5Y!ZO G+G&A ]).N<<H<<`M_LHWXsH s.N<<H<< K+a+O] )CF_)G*'$N5Y#+(! • ZO G+G&A]).N<<H<<O G+ GK1)+((!q;n;<67-H<<AH<<%N5Y*] ))@0'&"[0q  67-M +&AdGEI(J#- 1 +$%CF_)G*'N5Y #+( • .CF_)G*'N5Y#+(`M_LHWXs 5s.+''(< s.+''(< tut+O+I:+( VLHWXGB1s U l+s N '+( t7ta-o%d)G@1$N5Y#C + &AC\*')C-H+$N5Y#)"# 'E1J* +H<<PN5Y_(D(A' G'$N5Y'AF'*$ G+- • o I(J$"tutCI:)S!KP N5Y>A')G$N5Yc#+(! • o I(J$"*2t>K '($$ N5Yc#+(! UGc])CF_)`HRF8aG#[F$A G*'-U'B\ “to tay”[#$N5Y >    `^(^^ N  ^( K^ N  L ^   <+N+  n (^  2 ^ a! .O G+C@1$+C'cv[$N5Y' F'-bEF'[$!^(^^ N ^( K^ N.  ^ n (^ 2 ^ <+N+A$N5Y? F][F$AA'I %?#I(J *])D'$ G$+)"! UGO G+K+CF9. <LHWX ]B]$)+[GO$ G++OG& AG-U'B\CLHWX(_CQ'^(^^ N `)\aH `.?*F_)^w+O^xa [##+C'cA''Jc,QH G+ + ?A'# !- K *D'- cK$0#+C'cy>A'G'$ *D'[ +D'J*+ (+??> 'Q -H+cO G+C''Q `.  ^ a JC^x*&A[#+C'c-Wy> +C'c+Cy>])+ A >Gz*K 'I:fA  *?*K(]'()- U  G  'Q      E    @  G  [    E  F  ' X ^ Um ?])@$'BR[`<+N+a*+( +B R[?_?I - [...]... trỏ tới mã thực thi của virus, thay đổi SizeOfHeapReserve, SizeOfStackReserve, MajorImageVersion, MinorImageVersion… Sau quá trình chỉnh sửa các trường trong file, virus tiến hành ghi nội dung file calc.exe đã được chỉnh sửa sang một file có tên: calc.ivr trong cùng thư mục, sau đó, nó thực hiện Copy đè nội dung của file calc.ivr lên file gốc và xóa bỏ file calc.ivr đi Quá trình lây nhiễm hoàn tất ... đổi trên file gốc trên vùng nhớ: • Thay đổi BoundImport để tăng thêm section • Thay đổi cờ cho vùng nhớ mới để biến nó thành vùng mã có thể thực thi • Tăng số section trong PE Header khi thêm mới 1 section Tiếp tục debug đoạn chương trình này, chúng ta thấy virus tiến hành thay đổi một số trường khác tương đối quan trọng khác • Thay đổi SizeOfImage theo kích thước VirtualSize của section virus vừa... là mẫu virus tương đối đơn giản nên chúng ta chỉ cần IDA để xem thông tin sơ bộ trong hàm, không cần đi sâu hơn ở mức đồng bộ giữa việc chạy chương trình trên OllyDBG và IDA để tìm hiểu chi tiết từng đoạn mã Từ đoạn này, tôi tiến hành theo dõi vùng nhớ mà chương trình được nạp lên, mã virus bắt đầu thực hiện việc đọc PE header và thay đổi các tham số Trước tiên nó đọc một số trường trong PE Header Virus . Phân tích mẫu virus lây file cụ thể Win32/Expiro Phân tích mẫu virus lây file cụ thể Win32/Expiro – P1 . +(Sc#', #'B>OV?*JJ+F$A (D(?&- 5', J*267i;K+j57 Giai đoạn phân tích UI(J<+(5;K 'Kk]G$)f - K [ G!M:G[