|
本帖最后由 江民客服6608 于 2017-9-19 09:56 编辑
病毒名称: Trojan.WanaCry.i
病毒类型: 木马|后门
壳信息: 无壳,此病毒没有加壳行为
传播方式:主机系统漏洞利用传播
影响系统: Windows XP, Windows Server 2003/x,Windows vista,Windows7,Windows 8 等 没有安装 MS-17-010 补丁的 Windows 系统
病毒介绍:
近日全球多家组织遭到了一次严重的勒索软件攻击,西班牙的 Telefonica、
英国的国民保健署、以及美国的 FedEx 等组织纷纷中招。此次攻击的恶意软件
是一种名为“WannaCry”的勒索软件变种。
该恶意软件会扫描电脑上的 TCP 445 端口(Server Message Block/SMB),
以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以
比特币的形式支付赎金。此外,WannaCry 样本使用了 DOUBLEPULSAR,这
是一个由来已久的后门程序,通常被用于在以前被感染的系统上访问和执行代
码。这一后门程序允许在系统上安装和激活恶意软件等其他软件。它通常在恶意
软件成功利用 SMB 漏洞后被植入,后者已在 Microsoft 安全公告 MS17-010 中
被修复。
WannaCry 并不仅仅是利用与这一攻击框架相关的 ETERNALBLUE(永恒
之蓝)模块,根据动态特征不同还可分 ETERNALROMANCE(永恒罗曼史)和
ETERNALCHAMPION(永恒冠军)两种漏洞溢出模块可能被利用,它还会扫描
可访问的服务器,检测是否存在 DOUBLEPULSAR 后门程序。如果发现有主机
被植入了这一后门程序,它会利用现有的后门程序功能,并使用它来通过
WannaCry 感染系统。如果系统此前未被感染和植入 DOUBLEPULSAR,该恶
意软件将使用 ETERNALBLUE 尝试利用 SMB 漏洞。这就造成了近期在互联网
上爆发的大规模勒索蠕虫病毒的事件。
病毒危害:
1. 主要针对文档、图片、视频、音频文件进行加密,以此来勒索用户付费解
密。
2. 破坏操作系统还原功能设置,使操作系统还原功能失效。
3. 病毒本身会结束操作系统部分系统工具,使用户无法及时阻止病毒运行。
文件系统变化:
病毒运行会在 C 盘二级目录下拼接一个类似“C:\Intel\tyvzxhduwdmgfj555”
的文件夹释放功能模块和附属文件。
C:\Windows 目录下会存放病毒的主体文件 taskche.exe。
其中@WanaDecryptor@.exe 会在大部分磁盘目录下创建。
新增病毒文件:(包含加密、解密、提权、密钥等病毒相关加载模块)
|
|