WannaCry恶意样本的分析

aozhan · 发表于 2023-7-11 23:24

今天在告警监测平台上看到一条告警，显示某源地址访问恶意域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
接着就联系客户，准备上机排查一下，最终找到了相关样本，接下来就对样本进行初步分析首先用PEinfo查看一下基本信息

PEID收集基本信息：大概查看一下该恶意软件使用了哪些windowsAPI函数，方便后续分析。

将恶意软件拖进IDA后没有直接从函数入口点开始分析，而是直接从Import导出表开始，这样分析的更快一些。

去获取主机的相关信息

建立了网络连接，并去访问域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

mssecsvr.rar (1.98 MB, 下载次数: 24)

在C:\windows\下面又创建了一个新的进程tasksche.exe

如果C:/Windows/tasksche.exe存在，mssecsvc.exe将其更名为C:/Windows/qeriuwjhrf

以上就是对该恶意软件的一个简单分析。

hjtkxg · 发表于 2023-7-14 20:34

注释的很详细，肯定费了不少精力，感谢！

Hmily · 发表于 2023-7-19 18:10

过程有些简单，行为也分析一下？

aozhan · 发表于 2023-7-19 20:07

Hmily 发表于 2023-7-19 18:10
过程有些简单，行为也分析一下？

好的，后期肯定会更详细一些

马洋洋 · 发表于 2023-10-12 13:22

感谢分享

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] WannaCry恶意样本的分析