စက်ထဲမှာပုန်းအောင်းတဲ့ malware ...!!!!

Malware ဆိုတာ Malicious ဆိုတဲ့ ဖျက်လိုဖျက်ဆီးလုပ်တတ်တဲ့ Software တစ်မျိုးဖြစ်ပါတယ်...software အစစ်လိုမျိုးပါပဲ...ဒါပေမယ့် malware ကတော့ computer ရဲ့ system ပိုင်းတစ်နေရာမှာခိုအောင်း နေပြီးတော့ဖျက်လိုဖျက်ဆီးလုပ်တတ်တဲ့  cyber criminal တွေဖန်တီးထားတဲ့လက်ရာ တစ်ခုပါ....အခုကျွန်တော့်ရဲ့  Tutorial မှာ Computer System ထဲမှာခို အောင်းနေတဲ့ malware တစ်မျိုးကိုရှာဖွေဖော်ထုတ်ကြပါမယ်


အရင်ဆုံးကျွန်တော်တို့ဟာ ကျွန်တော်တို့စစ်ဆေးမယ့် OS မှာ run နေတဲ့ process တွေကိုကြည့်လိုက်ပါတယ်

 ဒီနေရာမှာဘာမှမသိသာလှပါဘူး.Computer ကြီးကပုံမှန် run နေပေမယ့် ကျွန်တော်တို့ကို ဒုက္ခပေးမယ့် malware ကဒီလိုရှာလို့တော့တွေ့မှာမဟုတ်ပါဘူး....ဒီတော့ကျွန်တော်တို့က ပုံမှန်မဟုတ်ပဲနဲ့ run နေတဲ့ process တွေကိုရှာပါမယ်

ကဲ..သံသယဖြစ်စရာတစ်ခုတော့ တွေ့ပြီ...ကျွန်တော်တို့ windows မှာ default ရှိနေတဲ့ explorer.exe ကိုကပ်တွယ်ပြီးတော့ reader_sl.exe ဆိုတဲ့  application တစ်ခု run နေတယ်.....process ID 1640 ဆိုပြီးတော့ reader_sl.exe က run နေပါတယ်...သူ့ရဲ့ parent process ID က explorer.exe ..process ID 1484 ပါ ... ဒါဆိုရင် ကျွန်တော်တို့ဟာ သံသယ ဖြစ်စရာ process ၂ ခုကိုတွေ့နေရပါပြီ...

explorer process ဖြစ်တဲ့ 1484 ဟာ remote network address ဖြစ်တဲ့ 41.168.5.140 နဲ့ 125.19.103.198  တို့ကို port number 8080 နဲ့ သွားချိတ်ဆက်နေပါတယ်...   ဆိုလိုတာက အဲဒီ process ကကျွန် တော်တို့ မသိပဲနဲ့ အပြင်က server ကိုသွားချိတ်နေပါတယ်...

ကျွန် တော်တို့စက်ရဲ့ explorer process က TCP port ကို ဖွင့်ထားပေးနေပါတယ်....တော်တော်သေချာနေပြီ လေ....ကျွန်တော်တို့က run နေတဲ့ reader_sl.exe ရဲ့ process ဖြစ်တဲ့ process ID - 1640 ကို dump ထုတ် ကြည့်ပါတယ်.... dump file ထဲမှာ လက်ရှိ ဘာတွေ run နေလဲဆိုတာကိုပါကြည့်လို့ရပါတယ် ....

ဟိုဘက်က 41.168.5.140 ဆိုတဲ့ server က listening လုပ်နေပါတယ်....အောက်က bank နဲ့ website တွေကိုသူကအသုံးပြုပြီးတော့.....

ပြီးရင်ဒီလိုမျိုး login page တွေနဲ့ user ဆီက information တွေရယ်... transaction data တွေကိုခိုးယူပါ‌ တော့တယ်...

အဲဒီ login page တွေမှာကိုယ့်ရဲ့ bank နဲ့ ပတ်သက်တဲ့  information တွေ... card နဲ့ ပတ်သက်တဲ့ information တွေကိုဖြည့်မိလို့ကတော့ အဲဒီ malware ကသူ့ရဲ့ server ဆီ ( hacker ရဲ့ server ) ကိုတန်းပို့ တော့တာပါပဲ....သင့်ရဲ့ card information တွေ..bank information တွေအကုန်ပေါက်ကြားကုန်မှာပေါ့ .သိပ် ကြောက်စရာကောင်းတဲ့ bank information stealing malware ဖြစ်ပါတယ်....

အဲဒီ malware ကိုအသက်၀င်အောင်လုပ်နေတဲ့ မူရင်း exe ကိုရှာပါမယ်.....

ကဲ...အဲဒီ malware ကိုလည်ပတ်အောင်လုပ်နေတဲ့ မူရင်း exe file ပါ... ဒီ malware ကဘယ်လိုအလုပ်သလဲ ဆိုတော့...

အဲဒီ မူရင်း file က windows explorer မှာ reader_sl.exe  ဆိုတဲ့ process တစ်ခုကိုပွားပြီး run နေပါတယ်...bank information တွေဖြည့်ခိုင်းတဲ့ box တွေမကြာမကြာ Computer Desktop မှာတက်လာပါမယ်...bank information တွေထည့်မိလို့ကတော့ သူက hacker server ဆီကိုတန်းပို့ တော့တာပါပဲ....အဲဒီလိုနည်းနဲ့ ဒီ  malware က ဒုက္ခပေးတတ်ပါတယ်...

malware အကြောင်းဗဟုသုတအလို့ငှာ TRC Technology ရဲ့ Technical Post တစ်ခုအဖြစ်ရေးသားလိုက် ရပါတယ်....အန္တရာယ်များတဲ့ malware မို့လို့ မိမိတို့စက်မှာ တင်ပြီးစမ်းမယ်ဆိုရင်တော့ at your own risk ပါ

လေးစားစွာဖြင့်

Phyo Sithu