安全研究

研究报告
WannaCry变种样本初步分析报告

《WannaCry变种样本初步分析报告》内容介绍

一、概述

5月14日,卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本,此变种没有包含域名开关,同时修改了样本执行过程中的某个跳转,取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。我们对此次的变种事件高度关注,以最快速度拿到样本并进行了分析。

通过初步的分析和与初代WannaCry样本的对比分析,我们认为目前搜集到的两个变种,应该都是在原有蠕虫样本上直接进行二进制修改而成的,不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种,以造成更大破坏。

从防护方面来看,变种样本仍然利用了MS17-010漏洞和DOUBLEPLUSAR后门进行传播,没有新的传播方式,因此我司的防护措施都仍然有效。


二、变种样本与源样本分析对比

此次分析了两个恶意样本,具体的文件信息如下表所示:


变种1
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.bin
MD5
D5DCD28612F4D6FFCA0CFEAEFD606BCF
SHA1
CF60FA60D2F461DDDFDFCEBF16368E6B539CD9BA
SHA256
32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF

变种2
07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd.bin
MD5
D724D8CC6420F06E8A48752F0DA11C66
SHA1
3B669778698972C402F7C149FC844D0DDB3A00E8
SHA256
07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD

详细内容,请下载《WannaCry变种样本初步分析报告》

《WannaCry变种样本初步分析报告》下载

《WannaCry变种样本初步分析报告》


浏览次数:

关 闭