WannaCry详细分析,未完待续

WannaCry详细分析,未完待续样本基础信息:MD5值:DB349B97C37D22F5EA1D1841E3C89EB4SHA1值:E889544AFF85FFAF8B0D0DA705105DEE7C97FE26CRC32:9FBB1227行为分析:——行为分析——网络行为——进程行为恶意代码分析:查壳:无壳为V

大家好,欢迎来到IT知识分享网。

样本基础信息:

MD5值:DB349B97C37D22F5EA1D1841E3C89EB4

SHA1值:E889544AFF85FFAF8B0D0DA705105DEE7C97FE26

CRC32:9FBB1227

 

行为分析:

——行为分析

WannaCry详细分析,未完待续

——网络行为

WannaCry详细分析,未完待续

 

——进程行为

WannaCry详细分析,未完待续

WannaCry详细分析,未完待续

WannaCry详细分析,未完待续

 

恶意代码分析:

查壳:无壳为VC6编译

WannaCry详细分析,未完待续

 

 

放入IDA中分析

进入伪c代码,第一条就是把字符串aHttpWww_iuqerf中的字符串赋值给szUrl,点击进去发先这个字符串是一个网址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.c

WannaCry详细分析,未完待续

 

WannaCry详细分析,未完待续

 

若连接不到则进行恶意行为sub_408090,进去分析,有两个函数(红框)需要分析,在此先从总路径开始分析,也就是sub_407F20

WannaCry详细分析,未完待续

进入函数分析,有两个函数。分别进去分析

WannaCry详细分析,未完待续

sub_407C40,可知是一个以服务的方式启动自身(病毒)的函数

WannaCry详细分析,未完待续

sub_407CE0,此函数创建Tasksche.ex文件,将获取的R资源放入此文件,并执行

WannaCry详细分析,未完待续WannaCry详细分析,未完待续

 

 WannaCry详细分析,未完待续

此时函数sub_407F20以服务方式启动自身,创建Tasksche.exe文件,这是主要恶意代码函数

 WannaCry详细分析,未完待续

接下来分析sub_408000,分析发现是注册一个函数处理服务控制请求(构造永恒之蓝漏洞利用),更新服务控制管理器状态信息,局域网和外网IP攻击。

此处为漏洞利用,暂时空着(还未理解明白利用方式)

 

 

 

 

 

 

 

源病毒文件:获取当前运行程序路径,参数大于2时以服务方式启动。与本地服务控制管理器建立连接并获取控制管理数据库。更改开启的服务配置。创建服务,启动局域网与外网IP传播。当参数不大于2时。以服务方式启动自身,

并在系统目录下创建Tasksche.exe文件,将获取到的R资源放入此文件,并执行它。

WannaCry详细分析,未完待续

 

再分析R资源中解析出来的tasksche.exe文件

开始分析之前在病毒程序中R资源中的程序—tasksche.exe,PEid分析,无壳  

WannaCry详细分析,未完待续

 

 

在查看资源时发现有一个在资源中的压缩文件。

WannaCry详细分析,未完待续

 

 

在010中创建一个空项目,将资源中的数据复制到其中,将其获取出来。发现文件是加密的,无法直接解压出来。解压的密码应该在病毒程序R资源。tasksche.exe中

WannaCry详细分析,未完待续

放入IDA中进行分析

WannaCry详细分析,未完待续

 

开始分析,遇到第一个函数sub_401225,随机生成一个服务名字

WannaCry详细分析,未完待续

 下一部分

WannaCry详细分析,未完待续

 

 sub_4010FD()函数,病毒创建了一个注册表项 然后将当前的exe所在的绝对路径设置到到注册表的\HKEY_LOCAL_MACHINE\SOFTWARE下 

WannaCry详细分析,未完待续

 

 sub_401DAB释放资源文件,sub_401DAB,在此分析找到函数sub_4075AD获取资源大小,解压压缩包,密码为

WNcry@2ol7(密码20I7是大写i,不是1)

WannaCry详细分析,未完待续

 解压压缩包,解压成功

WannaCry详细分析,未完待续

WannaCry详细分析,未完待续

 

 

继续往下,函数sub_401E9E,这个函数获取到了三个比特币账户

然后随机将其中的某一个写入到c.wnry文件中 所以c.wnry这个文件应该是跟勒索相关的

WannaCry详细分析,未完待续

 函数sub_401064

WannaCry详细分析,未完待续

 

 

第一个sub_401064创建了一个进程 进程的参数是attrib +h . 这个参数的含义是将当前路径下的所有文件设置为隐藏 但是这其实是个错误的命令 正确的命令是attrib +h 没有后面的那个点 所以这个函数也就没有起到作用

第二个“sub_401064直接看命令行参数’icacls . /grant Everyone:F /T /C /Q’这条命令是给当前的windows系统添加了一个叫Everyone`的用户 并给这个用户所有的权限

继续下一部分分析

WannaCry详细分析,未完待续

 

 sub_40170A提取API,以备使用

WannaCry详细分析,未完待续

WannaCry详细分析,未完待续

sub_401437导入密钥,申请两个0X10000大小的空间

WannaCry详细分析,未完待续

sub_4014A6

WannaCry详细分析,未完待续

读取前八个字节,比较是否是WANACRY!

WannaCry详细分析,未完待续

继续往下看,读取四字节,比较是否是100

WannaCry详细分析,未完待续

再读取100个字节

WannaCry详细分析,未完待续

 

再往下分析 

WannaCry详细分析,未完待续

查看函数sub_4019E,解密传进的size这100字节,数据放入Dst,大小放入v5

WannaCry详细分析,未完待续

函数sub_402A76,可能是加密算法,因为太多代码,而且基本都是些加密操作。

WannaCry详细分析,未完待续

再继续往下看,到此函数是一个解密函数。OD中查看

WannaCry详细分析,未完待续

在运行解密函数后应该可以解密出来10000个字节是什么。发现是一个PE文件

WannaCry详细分析,未完待续

将此PE文件复制出来

WannaCry详细分析,未完待续

放入010中创建一个新文件。保存下来

WannaCry详细分析,未完待续

 

回到主函数可知道函数sub_4014A6 是解密t_wnry文件内容,返回PE文件句柄。

WannaCry详细分析,未完待续

 

 

继续分析sub_4021BD发现它应该是要把PE文件解析出来,并加载

WannaCry详细分析,未完待续

WannaCry详细分析,未完待续

WannaCry详细分析,未完待续

再继续看sub_402924函数,找到导出表,获取导出表

WannaCry详细分析,未完待续

tasksche.exe文件分析完成

此程序就是做了一些初始化,加密过程还没有执行。

加密数据应该在DLL中。虽然解密出了一个AES密钥,但是是用来从t.wnry中解密DLL文件使用的。

 

接下来分析t.wnry.dll文件

 

 

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/32789.html

(0)

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

关注微信