吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5178|回复: 4
收起左侧

[PC样本分析] WannaCry恶意样本的分析

[复制链接]
aozhan 发表于 2023-7-11 23:24
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
今天在告警监测平台上看到一条告警,显示某源地址访问恶意域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
接着就联系客户,准备上机排查一下,最终找到了相关样本,接下来就对样本进行初步分析首先用PEinfo查看一下基本信息

PEinfo查看基本信息

PEinfo查看基本信息

PEID收集基本信息:大概查看一下该恶意软件使用了哪些windowsAPI函数,方便后续分析。

将恶意软件拖进IDA后没有直接从函数入口点开始分析,而是直接从Import导出表开始,这样分析的更快一些。
1689086905386.png
去获取主机的相关信息
1689087223631.jpg
建立了网络连接,并去访问域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
1689086787742.jpg
1689087135678.jpg mssecsvr.rar (1.98 MB, 下载次数: 29)

在C:\windows\下面又创建了一个新的进程tasksche.exe
1689087296428.jpg
如果C:/Windows/tasksche.exe存在,mssecsvc.exe将其更名为C:/Windows/qeriuwjhrf
1689087535678.jpg
以上就是对该恶意软件的一个简单分析。

免费评分

参与人数 2吾爱币 +1 热心值 +2 收起 理由
zkzkzzk + 1 + 1 短小精悍!
dodolock + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

hjtkxg 发表于 2023-7-14 20:34

注释的很详细,肯定费了不少精力,感谢!
Hmily 发表于 2023-7-19 18:10
 楼主| aozhan 发表于 2023-7-19 20:07
Hmily 发表于 2023-7-19 18:10
过程有些简单,行为也分析一下?

好的,后期肯定会更详细一些
马洋洋 发表于 2023-10-12 13:22
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:42

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表