Mới gần đây trên Facebook rộ lên ứng dụng ProfileVisitor với tác dụng xem được ai đã xem trang cá nhân của bạn (?!). Ứng dụng sẽ tạo cái post kiểu như thế này lên Facebook.

Việc xem được ai đã truy cập vào trang cá nhân của mình là điều mà chỉ Facebook có thể biết, hoặc người khác biết bằng cách inject code vào Facebook thì mới thu thập được thông tin, mà điều này rất khó xảy ra do nó là một lổ hổng bảo mật (XSS). Nghi vấn ứng dụng này là một malware như 1-2 năm trước, mình sẽ thử mở nó xem bên trong có gì nhé.

Do mình chưa biết nó có gây hại cho máy tính hay không, nên mình sẽ vọc nó trong môi trường ảo hoá. Máy ảo xài Windows 7 64-bit Ultimate build 7601 mới cài trắng tinh chưa có gì hết. Và giờ thì bắt đầu thôi!

Vào liên kết được đặt trong bài viết, chúng ta sẽ được dẫn tới một trang web như thế này, và có file .7z được tải xuống. Trông trang web khá là bắt mắt làm mình nghĩ nó là thật :v

Sau vài lần refresh, mình download được một số file phần mềm có phiên bản khác nhau nhưng các phiên bản v1.x.x thì giống nhau, còn v1.x.x với 2.x.x thì khác nhau (!?)

Mình tải được phiên bản mới hơn (v2.1.10) nên mình sẽ vọc bản này, còn những file v1.x.x thì sẽ xem sau.

Giải nén xong, check thử file thực thi bằng phần mềm Exeinfo PE thì ra được file thực thi viết bằng AutoIt, biên dịch 64-bit (máy ai xài 32-bit sẽ không dính đâu :v). Do được biên dịch 64-bit nên sẽ không thể dịch ngược ngay được bằng Exe2Aut mà phải dùng trick này để đưa file thực thi 64-bit thành 32-bit rồi mới decompile bằng Exe2Aut.

Sau đó decompile bằng Exe2Aut.

Đoạn code sau khi decompile đã bị obfuscated (làm rối) làm việc đọc khá khó hiểu. Do còn non kinh nghiệm deobfuscate nên bài tạm dừng ở đây :(. Source code: https://gist.github.com/0x2f0713/42aa027d407d78ed306c5229d3b5fc42

(Còn tiếp…)