BÁO CÁO PHÂN TÍCH MÃ ĐỘC

Tên mã độc: LabSpecimenGUI_x64.exe

Ngày phân tích: 2025-09-20

Người phân tích: Nguyễn Trung Kiên

Loại mã độc: Lab specimen (mô phỏng hành vi Trojan).

Phần 1: Phân tích Tĩnh

1. Thông tin chung về mẫu

• Loại file: Portable Executable (PE) – Windows executable.
• Hash:
  • SHA-256: a320ecabd9bf7dfdc022c1d6886bf6a3b135b1fc2a73926a24991b29f3c5c23f
  • MD5: c2a7793f26fa8ce4206c445035a72158
• Kích thước: 17,920 bytes (~17.5 KB).
• Metadata:
  • File type: PE64
  • Kiến trúc: x86-64 (AMD64)
  • Ngôn ngữ: C
  • Trình biên dịch: Microsoft Visual Studio 2017 (v15.9)
  • Entropy: 4.77 (mức trung bình; không cho thấy rõ ràng bị packer, nhưng có thể chứa một số dữ liệu mã hóa/nén).

Mô tả chung:

Đây là mẫu mô phỏng (benign lab specimen) với nhãn Benign Lab Specimen GUI trong resource. File được thiết kế phục vụ huấn luyện malware analysis: tạo file giả, áp dụng XOR lock/unlock, gửi “telemetry” về 127.0.0.1:8080, và khởi chạy Notepad để minh họa hành vi.

1. Phân tích chuỗi

Trích xuất chuỗi ASCII/Unicode từ binary ghi nhận:

• Nội dung đào tạo:
  • "This is a dummy file for lab demo."
  • "Dummy telemetry data for lab."
  • "This malware simulation demonstrates:"
  • "- Creating dummy files", "- Locking/Unlocking with XOR", "- Network telemetry", "- Notepad execution"
  • "For malware analysis training (Class: D22CQAT01-N)."
• Chuỗi mạng:
  • "127.0.0.1"
  • "Could not connect to 127.0.0.1:8080 (no listener?)"
  • "Telemetry sent to 127.0.0.1:8080"

Nhận định:

• Xác nhận đây là specimen dành cho huấn luyện.
• Hành vi chính: file I/O, XOR transform, telemetry loopback, spawn Notepad.