来科锐学习一年出头,x86平台刚好学完,这个周末遇到这个病毒爆发,花了点时间分析了下这个样本,发出来与看雪坛友分享.

一)样本大致行为预览

该样本执行后会随机向互联网计算机发送EternalBlue漏洞溢出程序，并释放勒索加密程序，加密计算机上.doc 、.ppt、.jpg、.sqlite3、.mdb、.bat、.der等多种类型的文件，修改文件后缀为.WNCRY类型，弹出窗口勒索用户，要求一定时间内交出赎金，才能恢复文件。

二)样本行为分析

2.1原始样本分析

定位到WinMain后，可以发现在WinMain入口处发现，原始样本会尝试连接一个非常没有规律的域名：http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

样本会通过是否能成功连接该域名，来决定是否展开后续行为。

如上图所示，若能够成功链接，则程序不展开相关行为，直接退出。否则，展开相关行为。

其中的sub_408090函数内部，在一个条件判断中分了两个功能模块：

其中，条件成立的代码块是启动服务功能等行为展开，程序第一轮并不会进入；当程序第一次启动时，执行的是条件不成立时的模块（上图中的sub_407f20），其功能主要为创建服务、释放并执行勒索的主体程序tasksche.exe /i。

创建服务过程：

该样本创建一个服务名为"mssecsvc2.0"，服务说明为"Microsoft Security Center (2.0) Service"的服务。

并在后续的行为中启动自身。

该服务的功能为：随机扫描互联网IP，利用SMB的内核级漏洞（CVE-2017-0143~CVE-2017-0148)，传播自身。这个漏洞的利用我自己还在分析，分析出来后会放在后续文章中。

原始样本，会从资源中加载、释放一个名为tasksche.exe的文件，并且以tasksche.exe /i的方式启动。

接着，我分析了tasksche.exe，它的行为如下

2.2 tasksche.exe的行为分析

tasksche.exe启动后，首先，会将自身拷贝到C:\intel\lgxbrzjmuzoytl531。

接着，tasksche.exe会创建服务，服务名及说明均为"lgxbrzjmuzoyt1531"，然后以服务的方式再启动自身。

以服务的方式启动后，tasksche.exe会以创建进程的方式执行命令：

attrib.exe +h

icacls.exe . /grant Everyone:F /T /C /Q

这两个命令用于修改文件属性相关的权限。

接着，会读取前期释放的一个名为t.wnry文件，并对其中的内容进行解密，解密后的内容为一个Dll文件，但是该dll文件并不会被写入磁盘中，而是在内存中直接执行。

[注意]看雪招聘，专注安全领域的专业人才平台！