BÁO CÁO PHÂN TÍCH MÃ ĐỘC

Tên mã độc: earlybird-apc-injection.exe

Ngày phân tích: 2025-09-20

Người phân tích: Nguyễn Trung Kiên

Loại mã độc: Trojan Downloader

Phần 1: Phân tích Tĩnh

1. Thông tin chung về mẫu

• Loại file: Portable Executable (PE) – Windows Executable.
• Hash:
  • SHA-256: BE7E92E7F9D6F66CA863A6C23D3E87DA27F9A4BE1F2AC667AEAC1B27E4CE146C
• Kích thước: ~211 KB.
• Metadata:
  • File type: PE64
  • Kiến trúc: AMD64 (64-bit)
  • Ngôn ngữ: C
  • Trình biên dịch: Microsoft Visual C/C++ (19.30.30795)
  • Entropy: 6.28 (cao, gợi ý code tối ưu hóa hoặc có dấu hiệu pack/nén).

Mô tả chung:

Mẫu earlybird-apc-injection.exe là PE 64-bit. Kết quả VirusTotal cho thấy 13/72 AV nhận diện độc hại với nhãn Trojan/Downloader, xác suất cao là Trojan Downloader. Chức năng điển hình: thiết lập kết nối mạng, tải thêm payload về hệ thống, hoặc mở backdoor cho attacker duy trì truy cập.

1. Phân tích chuỗi

Trích xuất bằng Strings/PEStudio:

• Chuỗi đáng chú ý:
• aHR0cHM6Ly9yYXcuZ2l0aHVidXNlcmNvbnRlbnQuY29tL3phbWF6b25lei96YW1hem9uZXovcmVmcy9oZWFkcy9tYWluL2NvZGUudHh0
• Giải mã Base64 → URL: https://raw.githubusercontent.com/zamazonez/zamazonez/refs/heads/main/code.txt

Nhận định:

• Sử dụng Base64 obfuscation để vượt qua AV/firewall signatures.