Phân tích hành động của Malware với Joebox Online Sandbox

Chắc hẳn mọi người đã biết đến những dịch vụ quét virus trực tuyến khá thông dụng, phổ biến và được nhiều người biết đến như VirusTotal, với chức năng quét bằng hơn 40 chương trình diệt virus hàng đầu hiện nay, mục đích chính là phân tích hành động chính của file khi được kích hoạt trên máy tính. Bên cạnh đó là những cỗ máy quét virus trực tuyến rất đáng tin cậy khác như: ThreatExpert, CWSandbox, Anubis, Sunbelt Sandbox, Norman Sandbox và Comodo Instant Malware Analysis. Trong bài viết này, tác giả sẽ đề cập đến một...
Nội dung trích xuất từ tài liệu:
Phân tích hành động của Malware với Joebox Online Sandbox Phân tích hành động của Malware với Joebox Online SandboxChắc hẳn mọi người đã biết đến những dịch vụ quét virus trực tuyếnkhá thông dụng, phổ biến và được nhiều người biết đến như VirusTotal,với chức năng quét bằng hơn 40 chương trình diệt virus hàngđầu hiện nay, mục đích chính là phân tích hành động chính của file khiđược kích hoạt trên máy tính. Bên cạnh đó là những cỗ máy quét virus trựctuyến rất đáng tin cậy khác như: ThreatExpert, CWSandbox, Anubis,Sunbelt Sandbox, Norman Sandbox và Comodo Instant Malware Analysis.Trong bài viết này, tác giả sẽ đề cập đến một tiện ích trực tuyến khác làJoebox. Bắt đầu chính thức đi vào hoạt động từ năm 2008, trải qua 3 nămphát triển và nâng cấp không ngừng, Joebox đã nhận được sự hưởng ứng vàđóng góp và hưởng ứng tích cực của cộng đồng. Mới đây ngày 14/03/2010,Joebox đã nâng cấp lên phiên bản mới nhất 1.5.5 với nhiều sự thay đổi đángchú ý: sửa lỗi khi thao tác với những trang HTML lớn, thêm chức năng đọc,viết các file thay đổi, chuỗi truy vấn giá trị chính tại các phần có sự thay đổi,tăng khả năng thiết kế HTML và cố định các lỗi cập nhật trên hệ thống máychủ khi làm việc với các yêu cầu từ phía client.Một trong những điểm nổi bật của Joebox là người sử dụng có thể tùy chọncác phiên bản Windows để phân tích hành động của Malware. Ở chế độ mặcđịnh, Joebox sẽ cho phép thực thi các chương trình Malware đó trên môitrường Microsoft Windows XP SP3, nhưng người sử dụng có thể lựa chọntùy ý với 2 phiên bản khác là Vista SP2 và Windows 7 cùng thời điểm. Bêncạnh đó, bạn có thể tích vào mục “Get network data - PCAP” và mở bằngứng dụng Wireshark để phân tích luồng lưu lượng, dữ liệu thu thập được.Bạn cần điền chính xác địa chỉ email vào ô “e-Mail” bởi vì toàn bộ kết quảvà quá trình quét sẽ được gửi về địa chỉ email đó. Bản báo cáo sẽ được gửidưới dạng file HTML, và có thể rất khó hiểu đối với những người ít kinhnghiệm trong lĩnh vực bảo mật.Có thể nhiều người sẽ băn khoăn về các bản báo cáo của Joebox khó hiểuhơn so với các cỗ máy trực tuyến khác? Một trong những điểm nổi bật vàđặc trưng của Joebox là khả năng nhận diện được phần mềm Malware tựtrang bị chức năng chống phân tích hành động (un-analyzable) mới nhấthiện nay mà các dịch vụ khác chưa có. Từ vị thế được ít người biết đến,Joebox đã trở thành 1 trong những tên tuổi đáng tin cậy trong lĩnh vực bảomật và phân tích hành động của các phần mềm độc hại hiện nay.Chú ý rằng bạn chỉ nên tải file *.exe chứ không phải các định dạng khác nhưZIP, RAR, 7z… Tuy nhiên, nếu người sử dụng sợ xảy ra nguy cơ vô tìnhkích hoạt phần mềm Malware đó trên máy tính cá nhân, bạn có thể đăng tảitrực tiếp mà không cần để ý tới phần đuôi mở rộng, Joebox sẽ tự động nhậndạng đó là file thực thi câu lệnh (*.exe), mặc dù chúng có thể ngụy trangdưới dạng *.exe, *.dll, *.sys, *.doc, *.pdfNhưng hãng bảo mật Symantec lại cho rằng thực ra thì không phải, Kneberchỉ đơn giản là một tên gọi khác của sâu Zeus Trojan. Cái tên Kneber đơngiản hiểu là một nhóm/cụm máy tính ma cụ thể, hay còn gọi là các bots, domột kẻ là chủ sở hữu sâu đó kiểm soát. Bản thân sâu Trojan này cũng tươngtự Trojan.Zbot , hay còn được gọi là sâu Zeus, đã được phát hiệnVì thế, theo các chuyên gia bảo mật của Symantec, đúng là chuỗi Knebernày trong toàn mạng máy tính ma Zeus là rất lớn, nhưng thực chất nó khôngliên quan tới bất kỳ một mối đe dọa mã độc mới nào. Bởi vậy, những ngườidùng máy tính mà có sử dụng phần mềm bảo mật cập nhật nhất đương nhiênsẽ được bảo vệ an toàn trước mối đe dọa này.