样本基本信息

云沙箱跑一下

很明显是个病毒

样本逆向分析

拖进ida

1、sub_401225

我们注意到,DisplayName是没有声明的,也就是说它是一个全局变量。我们看一下在其他地方的调用(x)

第一个:

这里是把DisplayName变成宽字节,并写入到widecharstr中

第二处

开启一个服务然后关掉,如果没有DisplayName这个程序先运行在开服务

接下来我们进401225看看

所以此函数的作用是给传过来的参数位置填充字母和数字

接着向下看,是一堆if判断,进入判断后先看文件名最后是不是\,如果是换成0,然后进入下一个函数看看

2、sub_4010FD

先是Destination被拼接成了Software\\WanaCrypt0r,然后进入特定目录创建注册表的值,所以这第二个函数的作用应该是把自己写进注册表

3、sub_401DAB

先加载资源然后锁定资源,再跟一下sub_4075AD

先分配了一段内存,又进入了一个407527函数,是把str写进分配的内存。接着跟406b8e

先判断v5是不是/和\,如果不是,就和asc拼在一块

跟一下405bae

可以看到这里是返回文件偏移指针的一个地方

接着看405fe2

这里看着很烦,其实主要目的是分配内存空间,检查内存空间上是否正常,如果不正常则将内存初始化指针为-1。

回到4074a4,跟进407572

释放一些空间,回退到401dab

4075c4也是在分配内存,退出401dab

4、sub_401E9E

跟进401000

a2为1,以读写的方式打开str2,其中str2为c.wnry。在成功打开文件以后由于

a2=1,那么就是以读的方式将从 c.wnry 文件中向 DstBuf 中读取 780 个字节的数据。如果读

取成功那么返回 1,并关闭流文件。

退出到 sub_401E9E 函数中。进入到 if 函数中,将 source 中的随机一个复制到 Dest 中,之

后再次调用 sub_401000 函数,将数据从缓冲区写回 c.wnry 中。返回 result 的值。

退回主函数中(winmain)。

5、sub_401064

通过在 winmain 函数中点击此函数的第一个参数可以获得第一个参数传入值为:attrib +h .

即增加文件隐藏属性。此函数主要作用即为创建一个进程并将其隐藏。

下面又是一个相同的函数,但是传入的参数不同

通过此属性来赋予所有用户完全访问权限。

6、sub_40170A

此函数的主要作用即判断对 dll 函数是否具备,创建文件,写文件,读文件,移动文件,移

动外部文件,删除文件以及关闭句柄的功能,具体的 dll 文件为:kernel32.dll,使用

LoadLibraryA 函数进行调用。

如果判断对 kernel32.dll 函数具有以上功能那么则进入 if 函数中

7、sub_4012FD

前两个sub都是在初始化临界资源

此函数主要功能为初始化临街资源并将内存中指定的位置数据置 0

401437是在堆中分配内存,我们直接往下看

8、sub_4014A6

第八个函数主要作用是创建 t.wnry 文件并在堆内为其分配内存。

9、sub_4021BD

此函数主要作用即为调用进程虚地址空间并检索指定的 dl 输出函数位置,作为参数在函数

内部获取堆内存地址以及设定异常机制。

10、sub_402924

这里的作用是开启进程,string1为TaskStart

11、sub_40137A

释放全局内存块和临界资源

魔窟(WannaCry)病毒简单分析相关推荐

  1. [转] 一个U盘病毒简单分析

    (转自:一个U盘病毒简单分析 - 瑞星网   原文日期:2014.03.25) U盘这个移动存储设备由于体积小.容量大.便于携带等优点,给人们的存储数据带来了很大的便利.但正是由于这种便利,也给病毒有 ...

  2. WanaCry病毒简单分析

    1.样本概况 背景 WannaCry(又叫Wanna Decryptor),一种"蠕虫式"的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security ...

  3. Android版本的Wannacry文件加密病毒样本分析(附带锁机)

    一.前言 之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个 ...

  4. 勒索病毒WannaCry深度技术分析——详解传播、感染和危害细节

    一.综述 5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞"永恒之蓝"(EternalBlue)在世界范围内爆发,据报道包括美国.英国.中国.俄罗斯.西班牙.意大利.越南 ...

  5. Android版本的 Wannacry 文件加密病毒样本分析 附带锁机

    一.前言 之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个 ...

  6. 病毒初识-认知、工具与简单分析

    文章目录 病毒初识-认知.工具与简单分析 发展阶段 DOS引导阶段 DOS可执行阶段 伴随型阶段 变形阶段 变种阶段 蠕虫阶段 PE文件病毒 宏病毒阶段 互联网病毒阶段 病毒命名 卡巴斯基(俄罗斯)中 ...

  7. 对SysAnti.exe病毒的简单分析

    周一在2号实验楼323嵌入式实验室用U盘时发现有病毒,重启后发现刚启动时电脑就有病毒,看来还原卡没起作用.一时兴起打包了病毒文件回来研究下. 病毒文件名:SysAnti.exe 文件大小:52.5KB ...

  8. Wannacry病毒分析

    1.样本概况 1.1 样本信息 病毒名称:Wannacry 所属家族:WannaCrypt MD5值:DB349B97C37D22F5EA1D1841E3C89EB4 SHA1值:E889544AFF ...

  9. 一个简单的Android木马病毒的分析

    一.样本信息 文件名称: 一个安卓病毒木马.apk 文件大小:242867 byte 文件类型:application/jar 病毒名称:Android.Trojan.SMSSend.KS 样本MD5 ...

最新文章

  1. 高通APQ8074 spi 接口配置
  2. 面向对象编程--之二
  3. Qt Creator图片
  4. 畅通工程 HDU - 1863
  5. kafka副本数据同步策略
  6. 面试官:Netty的线程模型可不是Reactor这么简单
  7. 09.QT应用程序启动外部exe文件
  8. 网络工程师职业规划(三)
  9. 基于ajax请求异常捕获
  10. 矩阵论复习笔记:盖尔圆的隔离技巧
  11. A/B test模块使用以及配置
  12. 稀疏性在机器学习中的发展趋势:MoE、稀疏注意力机制
  13. 多功能pdf编辑器PDF Office Max for mac
  14. Tomcat整体架构分析
  15. Matlab绘制折线图及局部放大图
  16. Java框架学习顺序是哪些
  17. Shell脚本之shift用法
  18. 复旦大学python教学视频_B站资源推荐:复旦大学机器学习、深度学习公开课,附PDF课件下载...
  19. FZU 2219 StarCraft (哈夫曼树)
  20. FBE 与FDE学习总结

热门文章

  1. iPad Air 2全然评測:可怕的三核CPU、六核GPU
  2. java 支付结果主动通知商户_java实现微信支付结果通知
  3. 秋实大哥与花(线段树)
  4. 【Computer Vision】基于VGG-16实现中草药分类
  5. qt designer Scroll Area控件不显示滚动条
  6. Word导出PDF后,PDF没有生成Word中对应的目录以及书签大纲
  7. Linux中的线程同步机制-futex
  8. Qt 内嵌外部exe程序 利用Windows API(2)
  9. 60 个程序员才懂的梗!太形象了!(笑死了!!!!!!!!!)
  10. Themeleaf 循环遍历list