- 博客(2)
- 收藏
- 关注
RSS订阅原创 Wannary传染部分分析第一部分(内外网攻击与恶意代码执行)
以服务方式启动自身,并在系统目录下创建Tasksche.exe文件,将获取到的R资源放入此文件,并执行它。图一: 病毒在系统的每一个目录下释放了@WanaDecryptor@.exe @Please_Read_Me@.txt的文件 这里应该是在感染文件了。获取当前程序运行路径,判断程序是否在服务中启动的,若不是则创建服务,并启动。在进程检测tasksche.exe文件中可以看到很多文档后缀的字符串。图三:病毒在系统盘和桌面释放了几个PE文件并启动执行 这里应该是在释放隐藏在资源中的文件。
2023-03-27 14:19:06
205
原创 一款简单恶意病毒分析
解密后,发现应该是免杀设置,先判断是否有杀毒软件,若有则关闭 WindowsDefender,关闭 AntiSpyware,关闭实时扫描,关闭访问保护,关闭行为监控,关闭 AntiVirus/防火墙/系统更新及通知,关闭 实时保护,设置了注册表键值。若是病毒程序,则执行到下一段代码,到此处代码发现函数sub_402810执行解密操作,将无序字符串解密出有效字符串,需要OD动态调试。下图为解密函数,以Tidr为密钥进行解密。推测该样本可能的恶意行为,下载字符串,网络行为,查询窗口,遍历文件COM组件调用。
2023-03-26 19:41:49
203
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人