1. Tóm tắt (Executive Summary)
- Loại & nền tảng: PE 32-bit, .NET (MSIL/.NET Framework 4.0), GUI, không ký số.
- Chức năng chính: loader giai đoạn 1 (steganography trong ảnh resource) → giải mã XOR → nạp payload trực tiếp vào bộ nhớ bằng Load (fileless).
- Kỹ thuật che giấu: timestamp giả mạo, entropy cao (đóng gói/obfuscate), anti-sandbox (sleep ~16s), self-terminate, giả dạng ứng dụng “OS Version Display”.
- Hành vi khả nghi: thu thập thông tin hệ thống, thao tác clipboard, sử dụng exe (LOLBin) để thực thi .NET.
- Mức độ rủi ro: CAO (khả năng infostealer/RAT-like).
- Lưu ý định danh: các đặc trưng tương đồng XWorm/Formbook (không khẳng định trùng họ; cần kiểm chứng thêm từ payload giai đoạn 2).
2. Phân tích tĩnh
2.1 Hash & tra cứu threat-intel
Mục tiêu: Xác định giá trị giá trị băm nhận dạng duy nhất của mẫu mã độc
Cách thực hiện: HashMyFiles (Flare-VM); tra cứu SHA-256 trên VirusTotal/Filescan.
Bảng giá trị hash:
| Thuộc tính |
Giá trị |
| MD5 |
be11fc4c470483bff5394b377067f278 |
| SHA256 |
26daaa0d086c4ef2f8da2970ffcb9a5a7f7a83d9d9214fa9b8480058e55c7863 |
| SSDEEP |
12288:UGbFK4WEC7Zp5V1aYyVx7uLCW5yq7+FykUpXmM/dPD7pT4A78g4aJ:UGbFK4w1V1aYyV4CWhxpTPxTHfJ |
Hình 1: HashMyFiles
Hình 2: Kết quả VirusTotal
Tổng quan đánh giá (Overview):
- Họ/biến thể khả dĩ: Dấu hiệu giống dòng XWorm (RAT) hoặc Formbook/XLoader (infostealer) về kỹ thuật tải/nạp và trộm dữ liệu.
- Lưu ý: XWorm ≠ Formbook/Noon (không phải bí danh). Kết luận họ cụ thể cần bóc tách payload giai đoạn 2.
- Phân loại: RAT / Infostealer (khả năng kết hợp spyware).
- Mức độ nghiêm trọng: CAO (khả năng đánh cắp thông tin & điều khiển từ xa; fileless execution).
- Nền tảng & khả năng phân tích: .NET (MSIL) → có thể decompile (dnSpy/ILSpy); bị obfuscate/packed mạnh.