Anh share cho mẫu trong tool ddos của 1 người post trên forum CEH.
Link: http://www.mediafire.com/download/dx8di7t24515w46/BOTNET-NEW.exe
OK. Download về tiến hành dịch ngược xem thế nào :D
Quăng vào IDA thì nhận được thông tin sau:
.NET :D Thật là tuyệt vời. .NET thì dễ xem source rồi
Quăng vào ILSpy tiến hành xem source code thôi :D
Có 1 string khá lạ lùng là apha: tại sao lại có những ký tự loằng ngoằng mì tôm thế kia? Mục đích là gì?
Ta tiến hành xem xét tiếp các hàm trong Form1.
Hàm buttonAttack_Click_1 không có gì khả nghi. Chỉ là cho WebBrowser dùng bot tấn công vitim.
Tới hàm buttonBrowser_Click ta thấy có đoạn liên quan tới chuỗi apha ở trên:
string value = string.Concat(new string[]Vậy value sẽ được gán là gì?
{
this.apha[9].ToString(),
this.apha[44].ToString(),
this.apha[9].ToString(),
this.apha[44].ToString(),
this.apha[9].ToString(),
this.apha[34].ToString(),
this.apha[34].ToString(),
this.apha[39].ToString(),
this.apha[36].ToString(),
this.apha[33].ToString(),
this.apha[23].ToString(),
this.apha[26].ToString(),
this.apha[9].ToString(),
this.apha[2].ToString(),
this.apha[29].ToString(),
this.apha[43].ToString(),
this.apha[8].ToString(),
this.apha[24].ToString(),
this.apha[26].ToString()
});
Gmail ?
LOADBOT để ddos thôi tại sao có gmail ở đây?
Tiếp luôn.
Sau khi value được gán thì nó được đưa vào class mtp và gửi đi.
Ta coi tiếp hàm Send() của mtp:
Đã rõ. Như ở trên ta thấy danh sách bot được đưa vào chuỗi text. chuỗi text được đưa vào mtp gửi đi qua email ở trên.
Như vậy, chủ con malware này tung tool này để người ta đem bot đi ddos người khác nhưng hắn lại được cái list bot đó và có thể điều khiển đám bot đó đi tấn công người khác.
Sau khi phân tích xong thì thử google tìm ra cái link này:
http://forum.ceh.vn/Tool-load-bot-cua-KymLjnk-ko-biet-share-co-bi-gi-ko-thread-7156-post-26848.ceh#pid26848
Trong đó đã có một vài thím phân tích con này trước rồi :D
Cảm ơn anh Việt Hòa đã giúp đỡ em.
Không có nhận xét nào:
Đăng nhận xét