Xem mẫu

  1. Tổng quan về mẫu malware Virus.Win32.Virut.ce (Phần III)
  2. - Riêng quá trình EPO:
  3. - Quá trình viết lại các entry point: Đoạn giải mã chính của phần thân virus Virut.ce
  4. Trước khi đi vào phần chính thảo luận về phương thức payload của virus, chúng ta hãy cùng nhìn vào công cụ giải mã Init trong 1 file đã bị lây nhiễm: 1 phần của file đã bị lây nhiễm bởi Virus.Win32.Virut.ce với Init decryptor
  5. Đoạn mã disassembled của Init decryptor Hình ảnh đầu tiên chỉ ra các phần mã đã bị lây nhiễm của file calc.exe. Phần ngoài rìa của các section mã được đánh dấu, đồng thời phần Init decryptor cũng được đánh dấu. Hình ảnh bên dưới hiển thị các đoạn mã disassembled của công cụ giải mã Init. 4 phương thức được đề cập bên trên được khoanh trong hình oval đỏ.
  6. Trong ví dụ này, trình quản lý đăng ký ECX được lấp đầy bởi các hành động push / pop liên tục và được giải mã bởi adc. Tuy nhiên, các quá trình này không phải lúc nào cũng giống nhau. Virut.ce đã phát triển rất nhanh trong năm qua, bằng chứng là chúng đã tích hợp được công nghệ giải mã Init một cách dễ dàng. Nếu thông tin của phần body virus ghi vào trong registry được chỉnh sửa 1 lần (mov reg, dword chuyển thành push dword; pop reg) thì các thủ tục để giải mã cũng thay đổi nhiều hơn 1 lần (sắp xếp theo thứ tự): - ADD/SUB [mem], dword; - ROL/ROR [mem], byte; - ADC/SBB [mem], byte; - ADD/SUB [mem], byte; - ADD/SUB [mem], word; - ADC/SBB [mem], word; - ADC/SBB [mem], dword; Khôi phục lại đoạn mã ban đầu Về mặt lý thuyết, toàn bộ mã nguồn của phần body chính có thể được chia ra làm 3 nhóm, theo nhiệm vụ chính sau: quá trình khôi phục lại từ các điểm
nguon tai.lieu . vn