Phân tích mẫu Spyware nghe lén, chụp Webcam

Bài viết trước mình viết bài phân tích mẫu spyware với hành vi keylogger. Hôm nay mình sẽ tiếp tục phân tích mẫu một mẫu spyware có thêm hành vi nghe lén và chụp ảnh thông qua webcam.

Thông tin mẫu trên VirusTotal

Mẫu spyware với các hành vi gián điệp nguy hiểm đặc biệt nguy hiểm như
– Lấy thông tin các phân vùng.
– Chụp ảnh màn hình
– Keylogger
– Nghe lén
– Chụp ảnh bằng webcam
– Điều khiển từ xa.
– Tải các file thực thi từ trên server và thực thi
– Lấy thông tin các tiến trình trên hệ thống.
– Xóa Eventlog
– Uninstall Malware
– Update các phiển bản malware mới
Thông tin về file:
– File type: DLL
– Kích thước file: 106 KB
– Chạy dưới quyền service “svchost.exe” và quyền user “rundll32.exe”
C&C
– evn.myddns.com
– evn.dynamic-dns.net
– www7216ou.sakura.ne.jp
Thông tin hành vi chi tiết

Case xử lý lệnh nhận được từ server
Lấy thông tin các phân vùng của ổ cứng
Chụp ảnh màn hình
Keylogger xử dụng kỹ thuật SetWindowHook​
Nghe lén
Chụp ảnh bằng webcam
Điều khiển từ xa​
Tải file thực thi từ server và thực thi
Lấy thông tin các tiến trình và module trên hệ thống
Xóa EventLog
Uninstall Malware​

Trên đây là bài viết sơ lược về hành vi của một mẫu spyware nghe lén và chụp ảnh qua webcam thực tế để mọi người có thể hình dung được cơ chế hoạt động của một spyware chụp webcam và nghe lén điển hình. Từ đó có thể phát hiện và xử lý nếu gặp phải.

Cộng đồng An Ninh mạng Việt Nam – Nắm kiến thức để phòng chống, không làm điều xấu

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *