样本基础信息:
MD5值:DB349B97C37D22F5EA1D1841E3C89EB4
SHA1值:E889544AFF85FFAF8B0D0DA705105DEE7C97FE26
CRC32:9FBB1227
行为分析:
——行为分析
——网络行为
——进程行为
恶意代码分析:
查壳:无壳为VC6编译
放入IDA中分析
进入伪c代码,第一条就是把字符串aHttpWww_iuqerf中的字符串赋值给szUrl,点击进去发先这个字符串是一个网址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.c
若连接不到则进行恶意行为sub_408090,进去分析,有两个函数(红框)需要分析,在此先从总路径开始分析,也就是sub_407F20
进入函数分析,有两个函数。分别进去分析
sub_407C40,可知是一个以服务的方式启动自身(病毒)的函数
sub_407CE0,此函数创建Tasksche.ex文件,将获取的R资源放入此文件,并执行
此时函数sub_407F20以服务方式启动自身,创建Tasksche.exe文件
标签:分析,sub,Tasksche,WannaCry,未完待续,字符串,详细分析,行为,函数 From: https://www.cnblogs.com/mumu333/p/16770040.html