Practical Malware Analysis serisine 1. Labın son çözümüyle devam ediyoruz.
İlk olarak sorulara bakalım.
1 – Dosyayı VirusTotal’e yükleyip sonuçlarına bakalım.
72 antivirüsten 62 tanesi yakaladı.
2 – Dosyanın paketlenip paketlenmediğine bakalım.
Detect It Easy aracı ile dosyayı incelediğimizde herhangi bir paketleme olmadığını görüyoruz.
3 – Programın ne ile derlendiğine bakalım.
2. soruda aslında ne ile derlendiğini gördük fakat ben aynı işe yapan başka bir araç olan PEiD’yi göstermek adına bu soruyu bununla geçtik. Program görüldüğü üzere Microsoft Visual C++ 6.0 ile derlenmiş.
4 – Zararlı yazılımın neler yaptığına bakalım.
CreateFileA, WriteFileA, FindResource, GetWindowsDirectoryA, LoadResource, SizeofResource, WinExec ve AdjustTokenPrivileges işlevlerini görüyoruz.
CreateFileA ve WriteFileA: Bir dosyanın oluşturulduğunu ve yazıldığını gösterir.
FindResource, LoadResource ve SizeofResource: Kaynaktan veri yüklemek için kullanılır.
WinExec: Yürütülen bir program olduğunu gösterir.
AdjustTokenPrivileges: Yetkileri etkinleştirir veya devre dışı bırakır.
5 – Zararlı yazılımı ağ tabanlı bir göstergesinin olup olmadığına bakalım.
PEStudio ile programı inelediğimizde \winup.exe, \system32\wupdmgrd.exe ve http://www.practicalmalwareanalysis.com/updater.exeisimli dosyaları görüyoruz.
6 – Resource Hacker aracı ile dosyayı inceleyelim.
Dosyayı Resource Hacker ile açtıktan sonra Action > Save Resource to a BIN file diyerek kaydediyoruz ve kaydettiğimiz dosyayı PEStudio ile açıyoruz.
Dosyayı PEStudio ile açtıktan sonra UrlDownloadToFile işlevini görüyoruz. Bu işlev zararlı yazılımlar tarafından sıklıkla kullanılan ve bir adresten zararlı dosyayı indirmeye yarayan bir işlevdir. Ayrıca WinExec işlevi ilede indirilen dosyanın çalıştırıldığını anlıyoruz.
Yazının Medium Linki >> Practical Malware Analysis Lab 1-4
Başka yazılarda görüşmek üzere.
