文章广告位
入驻说明

文章最后更新时间:2024-04-13 11:18:53

对某网传WannaRen的分析

判断可能具有反虚拟机能力,据传有穿透虚拟化能力,打开软件无效果,初步判断套了软件壳

打开过检测的虚拟机,据说会加密win10,

因此拿win7进行检测,这是网友分享的据说是原版的样本

对某网传WannaRen的分析

下载进行测试,发现360大爷直接报毒

对某网传WannaRen的分析

关闭360和360相关的安全模块,为了宿主机安全起见,断开虚拟机网卡,且拍摄快照,打开宿主机两个安全软件

直接赋予管理员权限运行

对某网传WannaRen的分析

可能是因为win7的缘故,我没能见识到他的发作,只有一个怪异的页面。说明缴纳0.05的BTC。但是,,这方方块块的边框是怎么回事???巨眼熟有没有。

对某网传WannaRen的分析 ???

真的是似曾相识,有点眼熟啊。

莫非我拿的真的是假的??

反编译试试看

直接丢到OD里面,在搜索ASCII和Unicode,还卡住了,还有这乱糟糟的内容,一定具有加密壳

对某网传WannaRen的分析

等了5分钟终于载入出来了,然后翻着翻着看到这个区块。

对某网传WannaRen的分析

我4不4发现了什么不对劲的东西,这个完美的程序为什么有如此怪异的名字?

对某网传WannaRen的分析

对某网传WannaRen的分析

好像是有点像?

and。。。。

对某网传WannaRen的分析

这个奇妙的字段又代表着什么。。。

继续翻看数据内容,发现调用了打印机的借口?人类迷惑行为。

这么壕无人性的程序您居然是用易语言写的???

放在微步云沙箱测试看看

对某网传WannaRen的分析

还发现发起了TCP连接,目标疑似是一个谷歌云的北京节点(为啥在国内诶?)

对某网传WannaRen的分析

从另外一份分析中看出,这个地址不是唯一的,经过直接访问,发现是谷歌云CDN节点

对于为什么有一个访问谷歌的CDN地址,我做出如下两个判断

1.程序可能调用其作者部署在网站上API接口来验证是否为正确密匙。
2.可能还存在一个核心的解密程序,分发在谷歌云的CDN上来实现全球操作

第一种问题倒是不大,吾本人倒是比较惧怕出现第二种情况,若这个程序纯粹只是一个用作验证秘钥的程序,那么用于真正解密的核心程序是否会在用户电脑上埋雷?这就无从考究了

看起来VMP壳的猜测是对的,但是依然不确定是否为易语言程序以及是否为源病毒。为此,我联系上了群内的一位逆向大佬,等待明天回音。

对于加密文件和传播,目前没发现这个EXE具有加密行为,也未进行除谷歌云的443端口外的其他端口的请求,严重怀疑拿到的是释放文件。

对某网传WannaRen的分析

上图是据说原版的多个版本,在win7下均未出现问题,如前文所述如出一辙。

写到这里的时候,大佬也回了我的疑问。

对某网传WannaRen的分析 大佬非常确信的验证了我的假想

总结:目前所测试的程序由易语言编写而成,不具有传播能力,外包VMP软件壳加密内容,反调试。且调用未知的谷歌CDN节点地址,疑似空壳或单一功能的释放文件。

后续如何请看明日后续

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
技术教程

使用nginx发布tomcat站点

2024-4-10 7:47:40

技术教程

TCPIP四层网络模型

2024-4-19 22:28:40

0 条回复 A文章作者 M管理员
夸夸
夸夸
还有吗!没看够!
    暂无讨论,说说你的看法吧
个人中心
购物清单
优惠代劵
今日签到
有新私信 私信列表
快速搜索
关注我们
  • 扫码打开当前页

你已经到达了世界的尽头

  • 3350

    文章数目

  • 223

    注册用户

  • 1766

    总评论数

  • 287

    建站天数

  • 47574

    总访问量

  • 波浪
  • 波浪
  • 波浪
  • 波浪