Practical Malware Analysis Lab 1-4

Serdar Daşdemir
3 min readJul 25, 2020

Practical Malware Analysis serisine 1. Labın son çözümüyle devam ediyoruz.

İlk olarak sorulara bakalım.

1 - Dosyayı VirusTotal’e yükleyip sonuçlarına bakalım.

VirusTotal

72 antivirüsten 62 tanesi yakaladı.

2 - Dosyanın paketlenip paketlenmediğine bakalım.

DIE

Detect It Easy aracı ile dosyayı incelediğimizde herhangi bir paketleme olmadığını görüyoruz.

3 - Programın ne ile derlendiğine bakalım.

PEiD

2. soruda aslında ne ile derlendiğini gördük fakat ben aynı işe yapan başka bir araç olan PEiD’yi göstermek adına bu soruyu bununla geçtik. Program görüldüğü üzere Microsoft Visual C++ 6.0 ile derlenmiş.

4 - Zararlı yazılımın neler yaptığına bakalım.

Dependency Walker
Dependency Walker

CreateFileA, WriteFileA, FindResource, GetWindowsDirectoryA, LoadResource, SizeofResource, WinExec ve AdjustTokenPrivileges işlevlerini görüyoruz.

CreateFileA ve WriteFileA: Bir dosyanın oluşturulduğunu ve yazıldığını gösterir.

FindResource, LoadResource ve SizeofResource: Kaynaktan veri yüklemek için kullanılır.

WinExec: Yürütülen bir program olduğunu gösterir.

AdjustTokenPrivileges: Yetkileri etkinleştirir veya devre dışı bırakır.

5 - Zararlı yazılımı ağ tabanlı bir göstergesinin olup olmadığına bakalım.

PEStudio
PEStudio

PEStudio ile programı inelediğimizde \winup.exe, \system32\wupdmgrd.exe ve http://www.practicalmalwareanalysis.com/updater.exe isimli dosyaları görüyoruz.

6 - Resource Hacker aracı ile dosyayı inceleyelim.

Resource Hacker

Dosyayı Resource Hacker ile açtıktan sonra Action > Save Resource to a BIN file diyerek kaydediyoruz ve kaydettiğimiz dosyayı PEStudio ile açıyoruz.

Resource Hacker
PEStudio

Dosyayı PEStudio ile açtıktan sonra UrlDownloadToFile işlevini görüyoruz. Bu işlev zararlı yazılımlar tarafından sıklıkla kullanılan ve bir adresten zararlı dosyayı indirmeye yarayan bir işlevdir. Ayrıca WinExec işlevi ilede indirilen dosyanın çalıştırıldığını anlıyoruz.

Başka yazılarda görüşmek üzere.

--

--