WannaCry详细分析，未完待续

大家好，欢迎来到IT知识分享网。

样本基础信息：

MD5值：DB349B97C37D22F5EA1D1841E3C89EB4

SHA1值：E889544AFF85FFAF8B0D0DA705105DEE7C97FE26

CRC32：9FBB1227

行为分析：

——行为分析

——网络行为

——进程行为

恶意代码分析：

查壳：无壳为VC6编译

放入IDA中分析

进入伪c代码，第一条就是把字符串aHttpWww_iuqerf中的字符串赋值给szUrl,点击进去发先这个字符串是一个网址：http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.c

若连接不到则进行恶意行为sub_408090,进去分析,有两个函数（红框）需要分析，在此先从总路径开始分析，也就是sub_407F20

进入函数分析，有两个函数。分别进去分析

sub_407C40,可知是一个以服务的方式启动自身（病毒）的函数

sub_407CE0,此函数创建Tasksche.ex文件，将获取的R资源放入此文件，并执行

此时函数sub_407F20以服务方式启动自身，创建Tasksche.exe文件，这是主要恶意代码函数

接下来分析sub_408000，分析发现是注册一个函数处理服务控制请求（构造永恒之蓝漏洞利用），更新服务控制管理器状态信息，局域网和外网IP攻击。

此处为漏洞利用，暂时空着（还未理解明白利用方式）

源病毒文件：获取当前运行程序路径，参数大于2时以服务方式启动。与本地服务控制管理器建立连接并获取控制管理数据库。更改开启的服务配置。创建服务，启动局域网与外网IP传播。当参数不大于2时。以服务方式启动自身，

并在系统目录下创建Tasksche.exe文件，将获取到的R资源放入此文件，并执行它。

再分析R资源中解析出来的tasksche.exe文件

开始分析之前在病毒程序中R资源中的程序—tasksche.exe，PEid分析，无壳  

在查看资源时发现有一个在资源中的压缩文件。

在010中创建一个空项目，将资源中的数据复制到其中，将其获取出来。发现文件是加密的，无法直接解压出来。解压的密码应该在病毒程序R资源。tasksche.exe中

放入IDA中进行分析

开始分析，遇到第一个函数sub_401225，随机生成一个服务名字

 下一部分

 sub_4010FD()函数，病毒创建了一个注册表项 然后将当前的exe所在的绝对路径设置到到注册表的\HKEY_LOCAL_MACHINE\SOFTWARE下 

 sub_401DAB释放资源文件，sub_401DAB，在此分析找到函数sub_4075AD获取资源大小，解压压缩包，密码为

WNcry@2ol7(密码20I7是大写i，不是1)

 解压压缩包，解压成功

继续往下，函数sub_401E9E，这个函数获取到了三个比特币账户

然后随机将其中的某一个写入到c.wnry文件中 所以c.wnry这个文件应该是跟勒索相关的

 函数sub_401064

第一个sub_401064创建了一个进程 进程的参数是attrib +h . 这个参数的含义是将当前路径下的所有文件设置为隐藏 但是这其实是个错误的命令 正确的命令是attrib +h 没有后面的那个点 所以这个函数也就没有起到作用

第二个“sub_401064直接看命令行参数’icacls . /grant Everyone:F /T /C /Q’这条命令是给当前的windows系统添加了一个叫Everyone`的用户 并给这个用户所有的权限

继续下一部分分析

 sub_40170A提取API，以备使用

sub_401437导入密钥，申请两个0X10000大小的空间

sub_4014A6

读取前八个字节，比较是否是WANACRY!

继续往下看，读取四字节，比较是否是100

再读取100个字节

再往下分析 

查看函数sub_4019E,解密传进的size这100字节，数据放入Dst,大小放入v5

函数sub_402A76，可能是加密算法，因为太多代码，而且基本都是些加密操作。

再继续往下看，到此函数是一个解密函数。OD中查看

在运行解密函数后应该可以解密出来10000个字节是什么。发现是一个PE文件

将此PE文件复制出来

放入010中创建一个新文件。保存下来

回到主函数可知道函数sub_4014A6 是解密t_wnry文件内容，返回PE文件句柄。

继续分析sub_4021BD发现它应该是要把PE文件解析出来，并加载

再继续看sub_402924函数，找到导出表，获取导出表

tasksche.exe文件分析完成

此程序就是做了一些初始化，加密过程还没有执行。

加密数据应该在DLL中。虽然解密出了一个AES密钥，但是是用来从t.wnry中解密DLL文件使用的。

接下来分析t.wnry.dll文件