Wannacry病毒分析

1．样本概况

1.1 样本信息

病毒名称：Wannacry

所属家族：WannaCrypt

MD5值：DB349B97C37D22F5EA1D1841E3C89EB4

SHA1值：E889544AFF85FFAF8B0D0DA705105DEE7C97FE26

CRC32：9FBB1227

病毒行为概述：

1. 创建服务并已服务的方式启动，并释放tasksche.exe文件在系统目录下并启动

2. 设置服务主函数，在局域网，互联网内445端口连接SMB漏洞攻击

3. tasksche.exe创建服务，及注册表项，提取压缩文件资源，使用密码解压到当前目录下，在系统目录下创建目录

4. 读取t.wnry到内存并解密等到dll文件调用导出函数TaskStart

5. 导出函数TaskStart执行，创建加密文件，提权创建弹窗提示进程及帮助文档文件，开机自启，执行脚本等操作

1.2 测试环境及工具

系统环境:win7 Professional 32位(15pb实验环境)

工具:

0. 火绒剑(行为分析)

1. autorun(查看启动项，计划任务，WMI，服务等)

2. PCHunter(文件，进程等管理)

3. WSExplorer(抓包工具，分析流量)

4. OllyDbg(动态调式)

5. IDA(静态分析)

6. PEID(查壳)

7. OllyDbg(动态调试分析)

8. Resource Hacker(查看资源)

9. LordPe(PE文件信息)

1.3 分析目标

分析样本需要完成的目标：

    0. 分析并记录样本产生的恶意行为

    1. 对样本进行详细分析，找出恶意代码及具体实现过程

    2. 对病毒的整个运行过程对应相应执行的恶意代码制作流程图

    3. 提取出样本特征，完成分析报告

2．具体行为分析

2.1 主要行为

2.1.1 病毒行为分析流程图

2.1.2 恶意程序对用户造成的危害

在虚拟机中断开网络模拟病毒运行，提取样本信息，等待病毒运行一段时间后，对计算机进行检查

桌面被修改，弹出窗口提示文件被加密了，需要付款解密，弹框会不时地弹出无法结束

创建提示文件

加密的文件添加了WNCRY后缀，无法打开

1. 打开PCHunter(ARK工具)

查看进程，定位到永恒之蓝病毒进程

下面这个应该就是弹窗提示程序，上面的为病毒文件创建出的进程，是弹窗提示的父进程

查看启动项，执行文件为taskexe

服务

网络

2. 使用autorun查看启动项，计划任务，服务，WMI

添加计划任务，启动项