本文对永恒之蓝勒索病毒进行了深入分析,包括样本概况、查壳、基础分析、动态分析等。病毒无壳,以VC++6.0编写,主要涉及服务操作、注册表操作、网络连接。动态分析显示,病毒启动tasksche.exe进程,释放恶意文件,监听端口并尝试局域网扩散。使用IDA与ID进行分析揭示了病毒的漏洞利用和恶意代码执行过程。
样本概况
文件 C:\Users\15PB\Desktop\永恒之蓝\永恒之蓝勒索病毒.exe 大小: 3723264 bytes 文件版本:6.1.7601.17514 (win7sp1_rtm.101119-1850) 修改时间: 2017年5月13日, 13:55:05 MD5: DB349B97C37D22F5EA1D1841E3C89EB4 SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26 CRC32: 9FBB1227
查壳
结论:此病毒无壳,以VC++6.0编写
基础分析
查看字符串
可以看到有加密函数的字符串,创建和销毁密钥容器,加密随机字节填充缓冲区。
1:服务操作函数。 2:注册表操作函数 3:WS3_32.DLL网络连接DLL
1:路径拼接用字符串 2:写入文件 3:创建文件 4:创建进程 5:可疑网络地址
使用PEiD识别
查看加密算法
ADLER32校验和算法,CRC32和RIJNDAEL是加密算法CRC32和AES,CryptDecrypt和CryptDecrypt是微软提供的用于加密的类库。ZIP2和ZLIB是压缩算法
查看导入表
在Kernel32的导入函数里发现了 LoadResource LockResourse FindResourceA 等函数 说明资源段里可能有问题
最低0.47元/天 解锁文章
3694
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
