[Write-up] Practical Malware Analysis | Part 1 - Chapter 1 - Lab 1-3

Practical-Malware-Analysis

CHAPTER 1 - BASIC STATIC TECHNIQUES

Write up Lab 1-3

Download Labs

Lab 1-3

Tệp cần phân tích là Lab01-03.exe

Questions

1. Upload the Lab01-03.exe file to http://www.VirusTotal.com/. Does it match any existing antivirus definitions?
2. Are there any indications that this file is packed or obfuscated? If so, what are these indicators? If the file is packed, unpack it if possible.
3. Do any imports hint at this program’s functionality? If so, which imports are they and what do they tell you?
4. What host- or network-based indicators could be used to identify this malware on infected machines?

Answers

 1. Upload the Lab01-03.exe file to http://www.VirusTotal.com/. Does it match any existing antivirus definitions?

Sử dụng tool trong công cụ Malcode Analyst Pack ta có được thông tin sau:

MD5:      9C5C27494C28ED0B14853B346B113145
SHA1:     290AB6F431F46547DB2628C494CE615D6061CEB8
SHA256:   7983A582939924C70E3DA2DA80FD3352EBC90DE7B8C4C427D484FF4F050F0AEC

Submit Virus Total

Virus Total Report

Detection

History

Dựa vào các thông tin trên thì file Lab01-03.exe được tải lên Virustotal lần đầu ngày 2011-07-04 22:00:08 UTC và từ đó đến thời điểm viết bài có tỷ lệ phát hiện virus là 60/70.

2. Are there any indications that this file is packed or obfuscated? If so, what are these indicators? If the file is packed, unpack it if possible.

 Sử dụng PEiD ta biết được file này được packed với FSG.

PEiD lab01-03.exe

Kích thước ảo là 0x3000 (12288 byte) lớn hơn rất nhiều so với kích thước thô của file 0 cũng là dấu hiệu cho thấy file đã được packed.

PEiD section lab01-03.exe

Với Dependency Walker ta biết được số lượng hàm nhập vào rất ít chỉ có hai hàm là LoadLibraryA và GetProcAddress đây là dấu hiệu cho thấy file đã bị packed.

Dependency Walker

Tại thời điểm này mình chưa thể unpack file.

====================

Note

Như đã biết ở lab02 thì việc xác định một file đã bị packed có các công cụ như PEiD, Dependency Walker, Exeinfo PE, Virustotal.

Trong trường hợp này ta vẫn có thể dùng Virustotal để xác định các thông tin.

Virus total

Visual size

Hoặc dùng PE Detective tương tự như PEiD.

PE Detective

 Hoặc dùng Exeinfo PE:

Exeinfo PE

Exeinfo PE Size

====================

 3. Do any imports hint at this program’s functionality? If so, which imports are they and what do they tell you?

Có hai hàm được sử dụng để nhập từ Kernell32:

• LoadLibraryA
• GetProcAddress

Ngoài ra mình không biết thêm các chức năng khác do chương trình chưa được giải nén FSG bằng các kỹ thuật đã học cho đến thời điểm này.

4. What host- or network-based indicators could be used to identify this malware on infected machines?

Do file không thể giải nén nếu chỉ dùng các kỹ thuật phân tích tĩnh, do vậy không đọc được strings không thể cung cấp thêm thông tin gì.

Kết thúc lab01-03.