Hôm nay tôi có nhận được một mẫu code mã hóa nghi là mã độc thoạt đầu tôi có xem nhưng không hiểu cho lắm về code của nó, bạn có thể thấy trích đoạn code này như sau:

Sau khi nhìn thấy hàm eval việc đầu tiên tôi nghĩ nó là mã độc tuy nhiên nó làm gì và công dụng như thế nào thì tôi chưa biết.

sau khi check type các file này thì tôi phát hiện nó là các file có thể thực thi được với ngôn ngữ là perl. dự vào các hàm unpack và eval tôi có thể kết luận đây chính là dạng Mumblehard.C trojan.

vấn đề là bây giờ đã biết nó là dạng nào tuy nhiên để unpack về dạng code có thể đọc được thì đó là điều không đơn giản.

Về loại mã độc này thì đây là một chương trình c đơn giản chủ yếu phục vụ cho việc spam mail qua hàm qmail

Mình đã tiến hành unpack nó và dưới đây là code bạn có thểm xem và ngâm cứu nó.

Để ngăn chặn mã độc này thì nếu máy chủ của bạn không cần dùng tới perl thì hãy tắt nó đi bằng lệnh

tuy nhiên nếu bạn cần perl để chạy thì hãy tìm kiếm các tiến trình cha và kill nó sau đó bạn cần rà soát và fix các lỗ hổng trong code của mình!

Với code như trên các bạn có thể vào đây để tiến hành giải mã: uudecode

Nếu website bạn có link lạ hãy liên hệ với chúng tôi chúng tôi luôn sẵn sàng hỗ trợ cho bạn!

Leave a Reply

avatar
  Subscribe  
Notify of