Tổng quan về mẫu malware Virus.Win32.Virut.ce (Phần III) pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (370.46 KB, 6 trang )
Tổng quan về mẫu malware Virus.Win32.Virut.ce
(Phần III)
- Riêng quá trình EPO:
- Quá trình viết lại các entry point:
Đoạn giải mã chính của phần thân virus Virut.ce
Trước khi đi vào phần chính thảo luận về phương thức payload của virus,
chúng ta hãy cùng nhìn vào công cụ giải mã Init trong 1 file đã bị lây nhiễm:
1 phần của file đã bị lây nhiễm bởi Virus.Win32.Virut.ce với Init decryptor
Đoạn mã disassembled của Init decryptor
Hình ảnh đầu tiên chỉ ra các phần mã đã bị lây nhiễm của file calc.exe. Phần
ngoài rìa của các section mã được đánh dấu, đồng thời phần Init decryptor
cũng được đánh dấu. Hình ảnh bên dưới hiển thị các đoạn mã disassembled
của công cụ giải mã Init. 4 phương thức được đề cập bên trên được khoanh
trong hình oval đỏ.
Trong ví dụ này, trình quản lý đăng ký ECX được lấp đầy bởi các hành động
push / pop liên tục và được giải mã bởi adc. Tuy nhiên, các quá trình này
không phải lúc nào cũng giống nhau. Virut.ce đã phát triển rất nhanh trong
năm qua, bằng chứng là chúng đã tích hợp được công nghệ giải mã Init một
cách dễ dàng. Nếu thông tin của phần body virus ghi vào trong registry được
chỉnh sửa 1 lần (mov reg, dword chuyển thành push dword; pop reg) thì các
thủ tục để giải mã cũng thay đổi nhiều hơn 1 lần (sắp xếp theo thứ tự):
- ADD/SUB [mem], dword;
- ROL/ROR [mem], byte;
- ADC/SBB [mem], byte;
- ADD/SUB [mem], byte;
- ADD/SUB [mem], word;
- ADC/SBB [mem], word;
- ADC/SBB [mem], dword;
Khôi phục lại đoạn mã ban đầu
Về mặt lý thuyết, toàn bộ mã nguồn của phần body chính có thể được chia ra
làm 3 nhóm, theo nhiệm vụ chính sau: quá trình khôi phục lại từ các điểm
