محمد مرشدی ( )

Size: px

Start display at page:

Download "محمد مرشدی ( )"

Eric Brown
6 years ago
Views:

1 گروه پژوهشی آفسک بدافزار تحلیل Kronos محمد مرشدی ( Mohammad@offsec.ir ) تمامی حقوق برای گروه پژوهشی آفسک محفوظ است.

2 Tools Used : PEiD CFF Explorer.exe OllyDbg (my own custom edition) WinHex LordPE PEtools Sysinternals(ProcessExplorer,regmon,filemon...) SnD_Reverser_Tool IDA 6.3 Gmer Kernel Detective v1.4.1 Main File Details FILE NAME 83780e63f48cb21bea3e bc1.exe FILE SIZE bytes FILE TYPE PE32 executable (GUI) Intel 80386, for MS Windows MD e63f48cb21bea3e bc1 SHA1 2dcd36b040a882756d85616edc92cacbdeaa4067 SHA256 b919b61737aad351b5b bdb71ba2ace45b6e4bcea136b09f90461f5ae7 SHA512 6ef619064cc efa081446fa a829bf080bd6362a20d4ccb459e9abcf7e8c8131c3e357b CRC32 D3F3AB7B Compiler/packer Microsoft Visual Basic 5.0 / 6.0 [Overlay] (PEiD result) Image Base : 0x Entry Point: 0x Image Size : 0x

3 Sections: Name VirtualSize Virtual Address RawSize RawAddress Characteristic Entropy.text 0000AC3C B data 00001E C C rsrc 00002B6C 0000E C Version Infos TRANSLATION 0x0409 0x04b0 INTERNALNAME 4 FILEVERSION 9.00 COMPANYNAME loplkjyhtg PRODUCTNAME njuhgtrfdc\x505 PRODUCTVERSION 9.00 ORIGINALFILENAME 4.exe Imports: KERNEL32.DLL Offset IAT Name 0000BB94 7DD731F2 SetErrorMode 0000BBA4 7DD8DC4E 0000 SetFileAttributesA MSVBVM60.DLL Offset IAT Name A1CC01 Ordinal: A 72A1CC0C Ordinal: A

4 B 72A1CC4D Ordinal: B A270B7 Ordinal: C 72A1C89D Ordinal: C A0E0F7 Ordinal: A26FE2 Ordinal: A2702F Ordinal: BBBA 72A09B74 EVENT_SINK_AddRef 0000BBCE 7294A0FD DllFunctionCall 0000BBE0 72A09B87 EVENT_SINK_Release 0000BBF6 72A09A85 EVENT_SINK_QueryInterface 0000BC12 72A247DF vbaexcepthandler A20F56 Ordinal: CD 72A28FE9 Ordinal: CD 0000BC28 72A3D05D ProcCallEngine A1C85D Ordinal: A1DE99 Ordinal: A161F8 Ordinal: A4 Ordinal: A26D9A Ordinal: F 72A11C50 Ordinal: F Important and suspicious strings: ReadFile CreateFileA RemoveDirectory C:\FA2\20_P\IOP.vbp Complete Strings attached. AV Scan Result:

5 ANTIVIRUS SIGNATURE Bkav MicroWorld-eScan Trojan.GenericKD nprotect Trojan.GenericKD CMC CAT-QuickHeal TrojanSpy.Zbot.r3 McAfee Ransom-FVX!83780E63F48C Malwarebytes Trojan.Crypt.NKN Zillya Trojan.Zbot.Win AegisLab K7AntiVirus Trojan ( 004b48ab1 ) BitDefender Trojan.GenericKD K7GW Trojan ( 004b48ab1 ) TheHacker Trojan/Injector.btlh NANO-Antivirus Trojan.Win32.Zbot.dnoulw F-Prot W32/Trojan2.ORLW Symantec Trojan.Gen

6 ESET-NOD32 a variant of Win32/Injector.BTLH TrendMicro-HouseCall TROJ_VBPACK.SM1 Avast Win32:Agent-AUZC [Trj] ClamAV Kaspersky Trojan-Spy.Win32.Zbot.uxen Alibaba Agnitum TrojanSpy.Zbot!Qx15PJy4PqM ViRobot Rising Comodo UnclassifiedMalware F-Secure Trojan.GenericKD DrWeb Trojan.Packed VIPRE Trojan.Win32.Generic!BT TrendMicro TROJ_VBPACK.SM1 McAfee-GW-Edition BehavesLike.Win32.Fujacks.fc Sophos Mal/VB-AOR Cyren W32/Trojan.ZHGJ-8287

7 Jiangmin TrojanSpy.Zbot.hofg Fortinet W32/Injector.BTXL!tr Antiy-AVL Trojan[Spy]/Win32.Zbot Arcabit Trojan.Generic.D204F0A SUPERAntiSpyware Trojan.Agent/Gen-Falcomp AhnLab-V3 Trojan/Win32.MDA Microsoft Trojan:Win32/Dynamer!ac ByteHero Virus.Win32.Heur.p ALYac Trojan.GenericKD AVware Trojan.Win32.Generic!BT VBA32 SScope.Malware-Cryptor.Zbot Panda Trj/Chgt.O Zoner Tencent Win32.Trojan.Bp-qqthief.Iqpl Ikarus Trojan.Win32.Injector GData Trojan.GenericKD AVG SHeur4.CFWF

8 Baidu-International Trojan.Win32.Zbot.uxen Qihoo-360 HEUR/QVM03.0.Malware.Gen با توجه به تشخیص فایل توسط AV ها و استرینگ های خیلی محدود و نامفهوم نسبت به سایز فایل به عنوان یک رویه شخصی با لود فایل در ollydbg )که بعضی تغییر نامها از جمله caption,windownames و... جهت جلوگیری از کشف توسط متد های AntiDebug در آن انجام داده و از چند پالگین پرکاربرد نیز استفاده کرده ) و گذاشتن breakpoint روی توابع زیر جهت بررسی بدافزارهای multi-thread و دارای پروسه فرزند برنامه را اجرا کرده )محیط تست برنامه win7-32bit است و برنامه در سیستم عامل xp کرش خواهد کرد( Api's: VirtualAlloc VirtualAllocEx WriteProcessMemory CreateThread CreateRemoteThread CreateProcessA CreateProcessW ResumeThread ZwAllocateVirtualMemory GetProcessAddres LoadLibraryA با توقف بر روی CreateProcessW مشاهده می شود برنامه یک پروسه دیگر از خودش و در حالت Suspended ایجاد می نماید.)شکل 1 ( به طور معمول ویروس ها جهت جلوگیری از کشف توسط آنتی ویروس ها فایل اصلی خود را در قالب یک encrypted resource و یا حالت های دیگر در برنامه قرار داده و فایل مادری تحت عنوان stub وظیفه بارگزاری و رمز گشایی فایل اصلی پس از چک کردن شرایط را دارد.همچنین stub ها چون اکثرا جدا از فایل اصلی کامپایل میشوند جای بیشتری برای مانور و گذاشتن پروتکشن ها و متد های آنتی دیباگ را دارند و برای مثال در صورت کشف توسط آنتی ویروس نیاز دوباره به نوشتن تکه برنامه اصلی نیست و فقط فایل stub دوباره نویسی و به اصطالح FUD می شود. پس از ایجاد این پروسه کد اصلی تک تک سکشن ها را پس از رمزگشایی با تابع WriteProcessMemory در پروسه ایجاد شده نوشته )شکل 2 (و سپس با ResumeThread آن را اجرا می کند )و یا جهت تزریق کد به پروسس

9 دیگری پس از نوشتن کد های مورد نظر در حافظه آن پروسه با تابع CreateRemoteThread و یا اسیب پذیری های دیگر برنامه ها پروسه را مجبور به اجرای آن می کند(. باید توجه کرد که تکه کد های اصلی قبل از نوشته شدن در پروسه فرزند از حالت رمز خارج می شوند )اکثرا( بنابراین بهترین راه برای برداشتن تکه کد اصلی دقیقا پس از اجرای آخرین WiteProcessMemory و قبل از اجرای ResumeThread است.تا مطمئن شویم کد decrypt/decode شده. البته این کار با آنالیز کلی stub هم قابل انجام است ولی با توجه به استفاده از روش های مختلف compressing,encrypting و یا استفاده همزمان از انها گاها پیدا کردن key جهت رمزگشایی و دنبال کردن روال پیچیده و طوالنی رمزگشایی سخت و زمانبر است. شکل 1

10 شکل 2 همچنین می توان با تزریق بایت های EBFE به entrypoint پروسه فرزند آن را در حالت پرش به یک آدرس نگه داشت و سپس با attach کردن در دیباگر به ادامه تحلیل پرداخت. در اینجا ما فایل PE دیکریپت شده را تحت عنوان newfile.exe ذخیره کرده و و ان را جداگانه تحلیل می کنیم.

11 Newfile.exe File Details FILE NAME FILE SIZE FILE TYPE MD5 SHA1 SHA256 SHA512 CRC32 newfile.exe bytes PE32 executable (GUI) Intel 80386, for MS Windows 830d62bb8110fd989b76ea9c2fef3f41 d5d66e4e576c024dc9a9b3365d0b ff26 2e360a892deb56c5b2bc28bc1ba7c6e13b f0adf67fc461975f452b e8c4e98df40a51023bf5269c30543de16023ce7af e3dae5b70aaed512b74b12f91f25ce27ffb8cbe7 8AA287AB Compiler/packer MICROSOFT VISUAL C++ V6.0 Image Base : 0x Entry Point: 0x000156E1 Image Size : 0x Linker Version: 9.0 System: Windows GUI Sections: Name VOffset VSize FOffset FSize Characteristic Entropy.text 0x x x x x rdata 0x0001A000 0x000143F2 0x00018C00 0x x data 0x0002F000 0x0000E42C 0x0002D000 0x0000B600 0xC CRT 0x0003E000 0x x x x reloc 0x0003F000 0x000014B0 0x x x Important Imports: send (Ordinal #19) recv (Ordinal #16)

12 accept (Ordinal #1) listen (Ordinal #13) bind (Ordinal #2) closesocket (Ordinal #3) connect (Ordinal #4) socket (Ordinal #23) WSAStartup (Ordinal #115) OpenProcess Sleep GetModuleHandleA GetTickCount CreateThread ExitThread CreateProcessW CreateFileW DeleteFileW WriteFile GetFileSize Process32NextW Process32FirstW CreateToolhelp32Snapshot ReadProcessMemory GetModuleHandleW CreateRemoteThread TerminateProcess GetProcAddress LoadLibraryA VirtualAllocEx DeviceIoControl CreateFileA GetVersionExW VirtualAlloc CopyFileW LoadLibraryW GetVersionExA WriteProcessMemory VirtualProtectEx CreateProcessA OpenProcessToken Full Imports list attached. Important and suspicious strings: %BOTID% SOFTWARE\Microsoft\Windows Nt\CurrentVersion SOFTWARE\Microsoft\Windows\CurrentVersion\Run HTTP/1.0 HTTP/1.1 HttpQueryInfoA

13 HttpQueryInfoW iexplore.exe C:\Users\Root\Downloads\dicks\VJF1\Binaries\Release\VJF 1.pdb C:\windows\notepad.exe \??\C:\Documents and Settings\Administrator\Application Data\Microsoft\ \??\C:\Documents and Settings\Administrator\Application Data\Microsoft \{C415D88B-D9A4-4A E60887E85B1}\wat.exe %ws\%ws.cfg AuthenticodeEnabled B4Y2H7F8A2T3G4H3 B5D6X4H5G6S3R2B5 B6F6X4A8R5D3A7C6 C4R7A2P4X3B1H5A4 C5R4X4H7R5T7A5R6 C5Y7R2R2H1R7A1B2 C6P7E6P7A1R5Q4R7 C7G5T6P7U5B1H0F5 C8C0U1A2G4G5Y2B5

14 ANTIVIRUS SIGNATURE Bkav MicroWorld-eScan Gen:Variant.Graftor nprotect CMC CAT-QuickHeal Backdoor.Konus McAfee Malwarebytes VIPRE SUPERAntiSpyware TheHacker Alibaba K7GW Trojan ( 00116f371 ) K7AntiVirus Trojan ( 00116f371 ) NANO-Antivirus Trojan.Win32.DownLoader11.dncjld Cyren Symantec ESET-NOD32 a variant of Win32/Agent.QMH

15 TrendMicro-HouseCall Avast Win32:Malware-gen ClamAV GData Gen:Variant.Graftor Kaspersky HEUR:Trojan.Win32.Generic BitDefender Gen:Variant.Graftor Agnitum Backdoor.Zegost!J4C2K9oC7wc ViRobot ByteHero Tencent Ad-Aware Gen:Variant.Graftor Emsisoft Gen:Variant.Graftor (B) Comodo Backdoor.Win32.Konus.A F-Secure Gen:Variant.Graftor DrWeb Zillya TrendMicro

16 McAfee-GW-Edition Sophos Mal/Generic-S F-Prot Jiangmin Backdoor/Zegost.oy Avira BDS/Backdoor.Gen Antiy-AVL Trojan[Backdoor]/Win32.Zegost Arcabit Trojan.Graftor.D2AB2D AegisLab AhnLab-V3 Trojan/Win32.Zegost Microsoft Backdoor:Win32/Konus.A TotalDefense ALYac Gen:Variant.Graftor AVware VBA32 Backdoor.Zegost Panda Zoner Rising

17 Ikarus Fortinet AVG Agent5.IJB Baidu-International Qihoo-360 HEUR/QVM20.1.Malware.Gen C8G2T3U3B1H3T5B5... Kronos iexplore.exe RtlComputeCrc32 data_inject data_end data_after data_before set_filter set_url Firefox Internet Explorer Chrome Opera SeDebugPrivilege SOFTWARE\Microsoft\Windows Nt\CurrentVersion SOFTWARE\Microsoft\Windows\CurrentVersion\Run wow64cpu.dll full list of strings attached. AV Scan Result-

18 این فایل نیز توسط بیشتر محصوالت ضد بدافزاری به عنوان فایلی مخرب شناخته شده و با توجه به وجود رشته Kronos در فایل و عالماتی چون data_inject data_end data_after data_before set_filter set_url که در config بات نت معروف zeus استفاده می شوند به احتمال زیاد بات kronos )یکی از خانواده های )zeus میباشد. با توجه به اینکه بیشتر قسمت های آن غیر از بعضی رشته های مربوط به سرور کنترل و فرماندهی و فایل config محافظت نشده توسط آنالیز برنامه IDA و مشاهده گراف ها و روالها شمای کلی هر زیر برنامه براحتی قابل مشاهده است لیکن تعداد subview ها و توابع داخل برنامه زیاد است و تصمیم گرفتن برای نقطه شروعی که زودتر به نتیجه برسد را دشوار می کند. جهت سهولت نوشتن گزارش با اجرا در olly و دنبال کردن روال کلی برنامه را دنبال می کنیم.)با گذاشتن breakpoint روی توابع حساس و دسترسی به رشته های مهم( این فایل نیز پس از اجرا پروسه دیگری را در حالت suspended ایجاد می کند)پس از ایجاد mutex و دیکریپت کردن رشته های مورد نیاز( با این تفاوت که این بار فایل ایجاد شده هدف فایل explorer خود ویندوز است. C:\windows\explorer.exe در اینجا رشته بسیاری از مسیرها به صورت crypt شده با الگوریتم xor در فایل گنجانده شد از جمله %windir%\system32 %appdate%,

19 همچنین بسیاری از توابع کتابخانه ntdll که در import table فایل نیستند به صورت داینامیک لود می شوند. بدین صورت که لیست هش شده )یک هش غیر معمول و ساختگی( اسامی توابع از قبل در فایل گنجانده شده و در طول اجرای برنامه با هش کردن تک تک توابع و مقایسه آنها با لیست موجود در برنامه آنها را انتخاب و پس از لود در آدرسی خاص قرار می دهد.) در تصویر در قسمت dump لیست هش موجود در برنامه را می توان مشاهده کرد-این رشته ها در -پالگین برنامه های مختلف برای مثال string فایل مربوط به strings نیز موجود هستند-استخراج توسط برنامه strings ) PEiD در viewer

تعدادی از API ها به همراه hash به عنوان نمونه D7T1H5F0F5A4C6S3 Sprintf H2G3F4F0F5A4D5E6 _vsnprintf X1U5U8H8F5A4C8C5 _vsnwprintf E3D7R6B3R4H5F3R7 RtlRandomEx X8D3U3P7S6Q3S5R1 RtlInitAnsiString

22 تعدادی از API ها به همراه hash به عنوان نمونه D7T1H5F0F5A4C6S3 Sprintf H2G3F4F0F5A4D5E6 _vsnprintf X1U5U8H8F5A4C8C5 _vsnwprintf E3D7R6B3R4H5F3R7 RtlRandomEx X8D3U3P7S6Q3S5R1 RtlInitAnsiString X8D3T6Q6U3S3A6R1 RtlFreeAnsiString R6G2D2R3A5E3C4U5 RtlFreeUnicodeString H7Y6G2R3A5F4D3S8 RtlInitUnicodeString P7Y3Q5P0Y8C2Y6F6 RtlCompareUnicodeString بقیه توابع نیز با single-step و trace کردن روتین چک کردن هش قابل دستیابی هستند )حدود 40 مورد( سپس برنامه با استفاده از GetVersionExW ورژن سیستم عامل را تشخیص داده تا از اجرا در سیستم هایی که پشتیبانی نمی شوند جلوگیری شود. switch.txt( )get windows version

کلید مورد استفاده در اینجا برای اکثر رشته ها Y8{OtcWo@rFb[ag9KIjm]]W1WLR8qS8" " می

23 سپس برای مثال جهت دسترسی به //./PhysicalDrive0 این رشته توسط الگوریتم xor دیکد می شود. کلید مورد استفاده در اینجا برای اکثر رشته ها " می باشد) دقت شود با توجه به طول و مکان رشته ممکن است ابتدای کلید مورد استفاده جهت رمزگشایی از قسمت های میانی رشته باال استفاده شود.) Routin.txt ) decrypt some text's

24 بدین صورت بدافزار با دسترسی به این فایل نام هارد دیسک سیستم را جهت چک کردن اجرای بدافزار در ماشین مجازی و سیتم های تحلیلی بدست می آورد. برای مثال در vmware workstation نام دیسک Vmware, می باشد)جهت عبور از این چک ما قبل از مقایسه این رشته را به رشته ای نامربوط تغییر می دهیم( سپس با محاسبه md5() رشته Kronos بدافزار یک mutex با نام Global\bac58a5f3b4389c872b83c98fdbc6ed6 ایجاد می کند )در صورت موجود نبودن(

25 سپس %appdata% و پس از دیکد expand شده و مسیر واقعی انها روی سیستم مشخص میشود. %windir%

26 و پروسه explorer.exe در حالت suspended به عنوان یک child از newfile.exe ایجاد می شود

27 سپس بدافزار 2 بایت اول از کدی که قرار است به explorer.exe تزریق شود را با 4D5A )به عنوان امضای فایل( جهت اطمینان از اینکه بالک به درستی دیکریپت شده مقایسه می کند.

28 همچنین هدر فایل explorer.exe را نیز بررسی می کند) توسط )ReadProcessMemory : explorer.exe کرده پس از این دو چک کد های دیکریپت شده را درقالب section جدیدی وارد پروسه Write New sections inside suspended explore.txt

29 در اینجا نیز فایل دیکد شده قبل از نوشتن در explorer.exe را مشاهده می کنیم.)سومین PE تحلیل( استخراجی از ابتدای

30 پس از این مرحله کار اصلی بدافزار آغاز شده و پروسه explorer.exe که حاوی کد بد افزار است مکانیزم تثبیت آلودگی را با ایجاد کلید رجیستری startup انجام داده و ارتباط با سرور فرماندهی و دریافت فایل config که شامل webinjects هم هست را برقرار می شود )که به احتمال زیاد همانند zeus شامل کدهای html و جاوا اسکریپتی است که پس از تزریق در صفحه بانک و ایجاد فرم تقلبی و یا تغییر فرم ورود مشتری و پرداخت او را وادار به وارد کردن رمز کارت خود و یا شماره SSN,DOB و یا هر اطالعات دیگری میکند که بانک به هیچ وجه آنها را سوال نمی کند. و با ضبط انها توسط بدافزار و ارسال به سرور فرماندهی آن را بدست می آورد. بدافزار دارای مکانیزم های حفاظتی دیگری است که زمان اجازه درک بیشتر انها را نمی دهد و اجرای بدافزار در ماشین مجازی در اینجا پایان می یابد و برنامه جهت جلوگیری بیشتر از تحلیل )چون در ماشین مجازی قرار دارد و بدافزار این را بگونه ای تشخیص داده( ادامه روند را اجرا نکرده و بالطبع ارتباطی با سرور فرماندهی برقرار نمی کند. برنامه با استفاده از title پنجره ها browser ها را تشخیص داده و در صورت اجرای آنها کد خود را به پروسه آنها و یا dll هایی که در browser لود شده تزریق کرده و بدون هیچ مشکلی ترافیک آنها را ضبط می کند. Supported: Firefox Internet Explorer Chrome Opera روتین Parse کردن فایل : config

31 تکه کد تشخیص پروسه مرورگر: کپی کردن فایل در مسیر زیر و تغییر attribute فایل به hidden و ایجاد کلید رجیستری با نام bac58a5f در مسیر مربوطه توسط ZWCreateKey جهت قرار دادن فایل در لیست startup -بدافزار با هر بار باال آمدن ویندوز اجرا میشود

$\??\C:\Documents and$ $Data\Microsoft\{C415D88B-D9A4-4A53-9345-$

32 \??\C:\Documents and Settings\Administrator\Application Data\Microsoft\{C415D88B-D9A4-4A E60887E85B1}\wat.exe SOFTWARE\Microsoft\Windows\CurrentVersion\Run ایجاد mutex و استفاده از GUID

33 Bind کردن و شنود روی پورت tcp )جهت ایجاد بکدور و یا دریافت دستورات(

34 ایجاد یک thread جداگانه جهت هندل کردن اتصاالت وردی به پورت نتایج جستجوی الگوریتم های رمز نگاری و توابع هش در newfile.exe )توسط پالگین )Krypto ANAlyzer

35 BLOWFISH [sbox] :: 00018ED8 :: 0041A2D8 Referenced at 00410A01 CRC32 :: 0001B3E0 :: 0041C7E0 Referenced at 0040F2E1 Referenced at 0040F336 Referenced at 0040F381 Referenced at 0040F3C5 Referenced at 0040F40B Referenced at 0040F44C Referenced at 0040F48C Referenced at 0040F4CA Referenced at 0040F510 Referenced at 0040F551 Referenced at 0040F5A6 Referenced at 0040F5E1 MD5 :: CF :: 00411ECF MD5 :: D6 :: D6 MD5 :: :: PI fraction (NIMBUS / BLOWFISH) :: 00018E90 :: 0041A290 Referenced at E8 RIJNDAEL [S] [char] :: 0002D000 :: 0042F000 Referenced at Referenced at Referenced at Referenced at Referenced at A7 Referenced at B4 Referenced at C1 Referenced at CE RIJNDAEL [S-inv] [char] :: 0002F100 :: Referenced at Referenced at Referenced at AA Referenced at B9 Referenced at C6

36 Referenced at D7 Referenced at E9 Referenced at F8 Referenced at Referenced at Referenced at Referenced at Referenced at Referenced at Referenced at Referenced at ZLIB deflate [word] :: 0001B2B8 :: 0041C6B8 {Big number} :: BC :: BC {Big number} :: E4 :: E4 {Big number} :: C :: C {Big number} :: :: که به احتمال زیاد الگوریتم RIJNDAEL )یا همان )AES جهت عملیات رمزنگاری config و اتصاالت بین کالینت و سرور فرماندهی مورد استفاده قرار می گیرد. روتین مربوط به AES در AES routin.txt همچنین یک نمونه درخواست ارسالی به سرور فرماندهی بدست امده)در آرشیو )Anubis دامنه bitcoind.su در حال حاضر بالک شده. POST /krpanel/connect.php HTTP/1.1 User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 5.1; Trident/6.0) Host: bitcoind.su Content-Length: 74 Cache-Control: no-cache Post content(hex values): 572C F7A A A6F A F A57482A535672A108003C C FC5772BB F ABFC17FD7E3AC0A E4CDB7B4 00B85E D A535639A708004E E FC5772BB F ABE317FD7E3AC0A E4CDB7B400B85E E7

37 Whois info (archived): domain: BITCOIND.SU nserver: expirepages-kiae-1.n ic.ru. nserver: expirepages-kiae-2.n ic.ru. state: REGISTERED, DELEGATED org: KvmHosting LTD phone: com registrar: RUCENTER-REG-FID created: paid-till: free-date: جهت کشف آلودگی روی سیستم با توجه به اینکه کلید رجیستری جهت اجرا در راحتی میتوان با چک کردن این مسیر و اینکه نام کلید یک نظیر startup ایجاد می شود به hex string هشت کاراکتری می باشد پی به الوده شدن آن برد. همچنین فایل بدافزار در مسیر Application Data و داخل یک GUID تصادفی قرار دارد.)هرچند بهترین راه همیشه اجرا نکردن فایل های مشکوک و بروز بودن سیستم انتی ویروس و یا استفاده از قابلیت هایی AppLocker در سیستم است. برای پاکسازی آلودگی از سیستم نیز می توان در حالت Safe Mode کلید رجیستری و فایل مربوطه را حذف o کرده و مرورگرها را جهت جلوگیری از آلودگی احتمالی پس از پاکسازی مجددا نصب کرد. جهت کشف از طریق بررسی ترافیک شبکه اگر بنا به شناسایی بدافزار در اولین اجرا روی سیستم باشد با توجه به اولین ارتباط بدافزار با سرور می توان از دو هدر Content-Length: 74 و کرد.همچنین چون محتوای درخواست بصورت Cache-Control: no-cache بصورت همزمان استفاده ascii نیست و هیچ هدری مبنی بر gz,deflate بودن o محتوا وجود ندارد )برای مثال درخواست های مرورگر که فشرده شده اند-به عنوان )false positive و سایز محتوا ثابت است می توان از آن برای شناسایی استفاده کرد. و اگر قبل از اقدام ما برای ضبط بسته ها ارتباط اولیه برقرار شده باشد چون اطالعاتی از درخواست و دریافت های ثانویه نیست)بخاطربسته شدن دامنه( شاید استفاده از هدر User agent که ثابت است )با فرض اینکه در ویرایش ها و آپدیت های بعدی تغییر خاصی صورت نگرفته باشد( منطقی بنظر برسد. برای رمزگشایی ارتباطات بدافزار با کارگزار کنترل و فرمان چون دامنه موجود در بدافزار بسته شده و به درخواست ها پاسخی داده نمی شود با این حالت کشف کلید رمز و یا چگونگی ساخت آن مشکل به نظر می رسد.

MODBUS ETHERNET و مفاهیم پایه

MODBUS ETHERNET و مفاهیم پایه IP (network and sharing) 7 Network and Sharing Center. (Change adapter» «. settings). Properties (local adapter) : Internet Protocol Local Area Connection Properties. Properties.