找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 3928|回复: 0

[已解决] 病毒介绍

[复制链接]

85

主题

101

帖子

408

积分

超级版主

Rank: 8Rank: 8

积分
408
发表于 2017-9-19 09:53:12 | 显示全部楼层 |阅读模式
本帖最后由 江民客服6608 于 2017-9-19 09:56 编辑

     病毒名称: Trojan.WanaCry.i
     病毒类型: 木马|后门
     壳信息: 无壳,此病毒没有加壳行为
     传播方式:主机系统漏洞利用传播
     影响系统: Windows XP, Windows Server 2003/x,Windows vista,Windows7,Windows 8 等 没有安装 MS-17-010 补丁的 Windows 系统
     病毒介绍:
       近日全球多家组织遭到了一次严重的勒索软件攻击,西班牙的 Telefonica、
英国的国民保健署、以及美国的 FedEx 等组织纷纷中招。此次攻击的恶意软件
是一种名为“WannaCry”的勒索软件变种。
     该恶意软件会扫描电脑上的 TCP 445 端口(Server Message Block/SMB),
以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以
比特币的形式支付赎金。此外,WannaCry 样本使用了 DOUBLEPULSAR,这
是一个由来已久的后门程序,通常被用于在以前被感染的系统上访问和执行代
码。这一后门程序允许在系统上安装和激活恶意软件等其他软件。它通常在恶意
软件成功利用 SMB 漏洞后被植入,后者已在 Microsoft 安全公告 MS17-010 中
被修复。
      WannaCry 并不仅仅是利用与这一攻击框架相关的 ETERNALBLUE(永恒
之蓝)模块,根据动态特征不同还可分 ETERNALROMANCE(永恒罗曼史)和
ETERNALCHAMPION(永恒冠军)两种漏洞溢出模块可能被利用,它还会扫描
可访问的服务器,检测是否存在 DOUBLEPULSAR 后门程序。如果发现有主机
被植入了这一后门程序,它会利用现有的后门程序功能,并使用它来通过
WannaCry 感染系统。如果系统此前未被感染和植入 DOUBLEPULSAR,该恶
意软件将使用 ETERNALBLUE 尝试利用 SMB 漏洞。这就造成了近期在互联网
上爆发的大规模勒索蠕虫病毒的事件。
     病毒危害:
     1. 主要针对文档、图片、视频、音频文件进行加密,以此来勒索用户付费解
密。
    2. 破坏操作系统还原功能设置,使操作系统还原功能失效。
    3. 病毒本身会结束操作系统部分系统工具,使用户无法及时阻止病毒运行。
文件系统变化:
病毒运行会在 C 盘二级目录下拼接一个类似“C:\Intel\tyvzxhduwdmgfj555”
的文件夹释放功能模块和附属文件。
    C:\Windows 目录下会存放病毒的主体文件 taskche.exe。
    其中@WanaDecryptor@.exe 会在大部分磁盘目录下创建。
    新增病毒文件:(包含加密、解密、提权、密钥等病毒相关加载模块)

技术铸就品牌 安全回报社会   QQ:719079890   江民
   www.jiangmin.com        QQ:542130166   科技
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

官方微信| Archiver|手机版|江民论坛

GMT+8, 2018-12-18 21:53 , Processed in 1.064385 second(s), 19 queries .

北京江民新科技术有限公司 版权所有 X3.4

© 1996-2018 JIANGMIN.

快速回复 返回顶部 返回列表