Đêm hôm ngồi dọn dẹp lại ổ thì kích ngay vào phần mềm ngày
trước mình down về nhưng chưa kịp phân tích, đang lơ mơ chuẩn bị đi ngủ thì
dích ngay vào mã độc, máy tự nhiên chạy mấy tiến trình lạ, tiến trình này giả dạng
là các file của hệ thống nhưng với icon như thư mục chứ (nhìn cái là nhận ra
ngay rồi).
Mở task Manager lên chuột phải mở open file location thì vào
thư mục AppData, con này có copy chính nó vào trong AppData , lúc này không nên
khỏi động lại nhé, nếu khởi động lại nó sẽ tiếp tục thực hiện việc copy chính
nó vào các thư mục của máy tính bạn, thay tên sao cho đúng với tên file của thư
mục đó nhưng icon lại là một thư mục, nếu máy bình thường không để hiện đuôi của
file lên thì sẽ khó có thể nhận ra và có thể click vào và sẽ lây lan nhiều hơn.
Bây giờ phải tìm cách để xóa được nó, tôi đã phải ngồi mò để xóa hết các file
đó, kiểm tra cả thư mục Startup, các regdit nữa,…mệt phết.
Đây là thư mục chứa dữ liệu của mã độc này:
File mã độc này có đặc điểm rất dễ phát hiện nó có icon là một
thư mục, nhưng ngày giờ tạo 9/9/2013, và kích thước file là 42kb của nó là cố định,
chỉ thay đổi tên là tên của thư mục nó copy vào. Sau khi ngồi miệt mài tìm kiếm,
để loại bỏ con này sạch sẽ, tôi bắt đầu phân tích file đã kiếm được, xem nó có
làm gì máy mình nữa không thì khổ (may mà ở quê không có mạng…không thì.).
Đầu tiên, ta kiểm tra file:
Thấy file này 32bit và được pack bằng MEW 11 SE v1.2, lại
lên hỏi bác google cách unpack dạng này. Ở đây tôi sẽ không trình bày các bước
unpack nhé, vì biết còn có nhiều pro lắm, với cả trên mạng cũng có tài liệu chi
tiết rồi.
Giờ lại bận việc, nên tôi sẽ phân tích tiếp ở bài viết tời...
