这里有久久精品66,欧美 日韩 在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站

樣本詳細(xì)分析：
病毒加載如果成功鏈接http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 則結(jié)束樣本運(yùn)行，如果失敗則向下執(zhí)行

進(jìn)入病毒主函數(shù)，判斷參數(shù)如果小于2，則進(jìn)入安裝服務(wù)，否則進(jìn)入執(zhí)行服務(wù)

進(jìn)入安裝流程，創(chuàng)建服務(wù),服務(wù)名稱(chēng): mssecsvc2.0，參數(shù)為當(dāng)前程序路徑 –m security

獲取kernel32.dll地址，定位調(diào)用函數(shù)地址

查找資源，釋放樣本的加密工具，拼接字符串為釋放路徑，createfile并啟動(dòng)程序



如果服務(wù)創(chuàng)建成功，則啟動(dòng)服務(wù)進(jìn)入服務(wù)函數(shù)，創(chuàng)建線(xiàn)程 執(zhí)行相應(yīng)功能



攻擊線(xiàn)程中構(gòu)造exploit 發(fā)送漏洞利用程序數(shù)據(jù)包


發(fā)送數(shù)據(jù)包 利用漏洞攻擊攻擊生成的IP

隨機(jī)生成IP 攻擊全球主機(jī)

加密器分析
加密器啟動(dòng)之后復(fù)制自身到C:\ProgramData\dhoodadzaskflip373（文件夾名通過(guò)計(jì)算機(jī)名稱(chēng)和隨機(jī)值計(jì)算出來(lái)存在差異）目錄下，寫(xiě)入注冊(cè)表信息

獲取資源目錄中相關(guān)數(shù)據(jù)，釋放其功能模塊到當(dāng)前目錄
包括提權(quán)模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@

給當(dāng)前目錄下文件設(shè)置隱藏屬性和訪(fǎng)問(wèn)權(quán)限

隨機(jī)顯示勒索比特幣信息

整個(gè)加密過(guò)程采用RSA+AES的方式完成，其中RSA加密過(guò)程使用了微軟的CryptAPI，AES代碼靜態(tài)編譯到dll

遍歷查找磁盤(pán)文件，進(jìn)行文件加密，在每個(gè)目錄下創(chuàng)建@WanaDecryptor@.exe


比較文件后綴是否為其中類(lèi)型，進(jìn)行加密處理

生成WNCRY后綴的加密文件

彈出繳費(fèi)解密界面