Bu yazımızda "Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software" kitabında bulunan Lab07-02 numaralı zararlının ileri statik analizini yapacağız.
1. How does this program achieve persistence? (Bu program kalıcılığı nasıl sağlıyor?)
Programda herhangi bir kalıcılı sağlamaya yönelik bir emare bulunmamaktadır. Yani herhangi bir şekilde kendini başlangıca sabitlemiyor ya da kayıt defterinde herhangi bir değişiklik yapmıyor. Ana amacı program çalışır çalışmaz ilgili adrese ulaşmak.
2. What is the purpose of this program? (Bu programın amacı nedir?)
IDA Pro ile programı açalım...
Öncelikle String penceresinde gördüğümüz gibi ole32.dll' den önemli birkaç içe aktarma bulunuyor. Bunlar OleInitialize, CoCreateInstance ve OleUninitialize. Bunlara ilerleyen safhalarda tekrardan değineceğiz. Program COM nesneleri kullanıyor gibi gözüküyor.
Call ile OleInitialize çağırıldıktan sonra main function CoCreateInstance çağırılmıştır.
Biraz aşağı indiğimizde görüldüğü üzere... "http://www.malwareanalysisbook.com/ad.html" olarak tanımlı yürütülmek için hazırlanmış bir nesne görmekteyiz. Program açıldığında bu adrese gider.
Ardından program sonlanır ve herhangi bir işlem yapmaz.
3. When will this program finish executing? (Program ne zaman sona erecek?)
Program açılır ardından web sayfasına gidilir ve çalışmayı bitirir. Muhtemelen reklamı gösterdikten sonra programın işi biter. Reklam izletmek için oluşturulmuş zararlı olabilir.
Sorular?1. How does this program achieve persistence? (Bu program kalıcılığı nasıl sağlıyor?)
Programda herhangi bir kalıcılı sağlamaya yönelik bir emare bulunmamaktadır. Yani herhangi bir şekilde kendini başlangıca sabitlemiyor ya da kayıt defterinde herhangi bir değişiklik yapmıyor. Ana amacı program çalışır çalışmaz ilgili adrese ulaşmak.
2. What is the purpose of this program? (Bu programın amacı nedir?)
IDA Pro ile programı açalım...
Öncelikle String penceresinde gördüğümüz gibi ole32.dll' den önemli birkaç içe aktarma bulunuyor. Bunlar OleInitialize, CoCreateInstance ve OleUninitialize. Bunlara ilerleyen safhalarda tekrardan değineceğiz. Program COM nesneleri kullanıyor gibi gözüküyor.
Call ile OleInitialize çağırıldıktan sonra main function CoCreateInstance çağırılmıştır.
Biraz aşağı indiğimizde görüldüğü üzere... "http://www.malwareanalysisbook.com/ad.html" olarak tanımlı yürütülmek için hazırlanmış bir nesne görmekteyiz. Program açıldığında bu adrese gider.
Ardından program sonlanır ve herhangi bir işlem yapmaz.
3. When will this program finish executing? (Program ne zaman sona erecek?)
Program açılır ardından web sayfasına gidilir ve çalışmayı bitirir. Muhtemelen reklamı gösterdikten sonra programın işi biter. Reklam izletmek için oluşturulmuş zararlı olabilir.