病毒介绍

江民客服6608

     病毒名称： Trojan.WanaCry.i
     病毒类型： 木马|后门
     壳信息： 无壳，此病毒没有加壳行为
     传播方式：主机系统漏洞利用传播
     影响系统： Windows XP, Windows Server 2003/x,Windows vista,Windows7,Windows 8 等 没有安装 MS-17-010 补丁的 Windows 系统
     病毒介绍:
       近日全球多家组织遭到了一次严重的勒索软件攻击，西班牙的 Telefonica、
英国的国民保健署、以及美国的 FedEx 等组织纷纷中招。此次攻击的恶意软件
是一种名为“WannaCry”的勒索软件变种。
     该恶意软件会扫描电脑上的 TCP 445 端口（Server Message Block/SMB），
以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以
比特币的形式支付赎金。此外，WannaCry 样本使用了 DOUBLEPULSAR，这
是一个由来已久的后门程序，通常被用于在以前被感染的系统上访问和执行代
码。这一后门程序允许在系统上安装和激活恶意软件等其他软件。它通常在恶意
软件成功利用 SMB 漏洞后被植入，后者已在 Microsoft 安全公告 MS17-010 中
被修复。
      WannaCry 并不仅仅是利用与这一攻击框架相关的 ETERNALBLUE（永恒
之蓝）模块，根据动态特征不同还可分 ETERNALROMANCE（永恒罗曼史）和
ETERNALCHAMPION（永恒冠军）两种漏洞溢出模块可能被利用，它还会扫描
可访问的服务器，检测是否存在 DOUBLEPULSAR 后门程序。如果发现有主机
被植入了这一后门程序，它会利用现有的后门程序功能，并使用它来通过
WannaCry 感染系统。如果系统此前未被感染和植入 DOUBLEPULSAR，该恶
意软件将使用 ETERNALBLUE 尝试利用 SMB 漏洞。这就造成了近期在互联网
上爆发的大规模勒索蠕虫病毒的事件。
     病毒危害:
     1. 主要针对文档、图片、视频、音频文件进行加密，以此来勒索用户付费解
密。
    2. 破坏操作系统还原功能设置，使操作系统还原功能失效。
    3. 病毒本身会结束操作系统部分系统工具，使用户无法及时阻止病毒运行。
文件系统变化:
病毒运行会在 C 盘二级目录下拼接一个类似“C:\Intel\tyvzxhduwdmgfj555”
的文件夹释放功能模块和附属文件。
    C:\Windows 目录下会存放病毒的主体文件 taskche.exe。
    其中@WanaDecryptor@.exe 会在大部分磁盘目录下创建。
    新增病毒文件：（包含加密、解密、提权、密钥等病毒相关加载模块）