WannaCry勒索病毒
2022-01-12 10:45:25 0 举报此图为勒索病毒执行全貌
作者其他创作
大纲/内容
WannaCry.exe
访问网站http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
如果不能访问,继续执行恶意代码
打开服务管理器,创建服务mssecsvc2.0,伪装服务名,启动服务
查找资源R,释放PE文件,命名为tasksche.exe,并启动
在病毒内部找到两个PE文件,并释放出来,一个是DLL文件,一个是DOS文件
创建第一个线程,利用445端口漏洞进行局域网传播
创建第二个线程,随机生成IP地址,利用漏洞进行广域网传播
如果能访问,程序结束退出
tasksche.exe
随机获取一个服务名
创建系统目录
创建服务,服务名为上边随机获取的,并启动服务
创建注册表HKEY_LOCAL_MACHINE\Software\WanaCrypt0r
释放资源中的压缩文件,并解压释放
在释放出的c.wnry文件中写入钱包地址
获取一些API函数
导入密钥,申请空间
解密t.wnry文件内容,分离出一个DLL的PE文件
加载DLL文件到内存,记录PE信息
遍历DLL中的导出表,调用DLL中的函数
t_wnry.dll
创建互斥体防多开
获取当前模块的全路径
检测当前是否是系统用户,比较当前用户的SID和系统用户的SID
创建00000000.pky和00000000.eky文件
第一个线程回调函数 创建00000000.res文件
第二个线程回调函数 检查当前目录下是否有.dky文件,测试加密函数
第三个线程回调函数 遍历磁盘,检测新磁盘加入,遍历目录,加密文件
第四个线程回调函数 以隐藏的方式启动taskdl.exe
第五个线程回调函数 启动@WanaDecryptor@.exe和taskse.exe,在注册表run中写入,开机启动
创建bat脚本,执行代码,创建勒索文档,加密用户其他文件
释放文件的总结
c.wnry---保存比特币账户,下载链接
t.wnry---隐藏加密的dll核心文件,导出TaskStart函数
u.wnry---解密程序@WanaDecryptor@.exe
r.wnry---勒索文档
msg---语言包,用于WanaDecryptor显示中文
taskdl.exe---遍历磁盘,删除后缀名为.WNCRY的文件
taskse.exe---更高的提权程序
0 条评论
下一页
