Softwareendung Frage?

...komplette Frage anzeigen

2 Antworten

Also nur mal meine Vermutung, ich habe diese Malware nicht analysiert.

Die WannaCry.exe wird vermutlich ausführbaren Code und weitere Payload enthalten. Diese Payload ist dann ein verschlüsseltes Zip-Archiv.

Wenn Du die .exe in .zip umbenennst, sucht Dein Archivprogramm nach dem Zip-Header und ignoriert den ausführbaren Code, der sich davor befindet. So kannst Du z. B. auch selbstextrahierende Zip-Archive, die ja ebenfalls ausführbaren Code zum Entpacken beinhalten, mit dem Archivprogramm öffnen und extrahieren, da der ausführbare Code einfach ignoriert und das angehängte Archiv extrahiert wird.

Also ich schätze, der ausführbare Code extrahiert das Archiv - dort wird ja dann auch das entsprechende Passwort hinterlegt sein, weil Du das ja vermutlich kaum eingeben müssen wirst, um Dich zu infizieren ;-) - und benennt die Dateien dann um und führt sie aus. Oder er extrahiert sie, lädt sie in sein eigenes Codesegment (das ja bereits läuft) und springt dann hinein. Dort gibt es viele Möglichkeiten. Da ja bereits ausführbarer Code läuft, kann natürlich auch weiterer ausführbarer Code nachgeladen werden, prinzipiell sogar ohne den Program Loader des Betriebssystems dafür überhaupt zu verwenden.

ich kann eine "eigene" Dateiendung erfinden. Ich muss nur festlegen, mit welchem Programm diese gestartet werden soll. Das wird in der WannaCry.exe hinterlegt sein.

Was möchtest Du wissen?