这里有久久精品66,欧美 日韩 在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站

病毒名稱： Trojan.WannaCry.i
病毒類型： 木馬|后門
殼信息： 無殼，此病毒沒有加殼行為
傳播方式：主機(jī)系統(tǒng)漏洞利用傳播
影響系統(tǒng)： Windows XP, Windows Server 2003/x,Windows vista,Windows 7,Windows 8等   沒有安裝MS-17-010補(bǔ)丁的Windows系統(tǒng)
病毒介紹:
近日全球多家組織遭到了一次嚴(yán)重的勒索軟件攻擊，西班牙的Telefonica、英國的國民保健署、以及美國的FedEx等組織紛紛中招。此次攻擊的惡意軟件是一種名為“WannaCry”的勒索軟件變種。
該惡意軟件會掃描電腦上的TCP 445端口（Server Message Block/SMB），以類似于蠕蟲病毒的方式傳播，攻擊主機(jī)并加密主機(jī)上存儲的文件，然后要求以比特幣的形式支付贖金。此外，WannaCry樣本使用了DOUBLEPULSAR，這是一個(gè)由來已久的后門程序，通常被用于在以前被感染的系統(tǒng)上訪問和執(zhí)行代碼。這一后門程序允許在系統(tǒng)上安裝和激活惡意軟件等其他軟件。它通常在惡意軟件成功利用SMB漏洞后被植入，后者已在Microsoft安全公告MS17-010中被修復(fù)。
WannaCry并不僅僅是利用與這一攻擊框架相關(guān)的ETERNALBLUE（永恒之藍(lán)）模塊，根據(jù)動(dòng)態(tài)特征不同還可分ETERNALROMANCE（永恒羅曼史）和ETERNALCHAMPION（永恒冠軍）兩種漏洞溢出模塊可能被利用，它還會掃描可訪問的服務(wù)器，檢測是否存在DOUBLEPULSAR后門程序。如果發(fā)現(xiàn)有主機(jī)被植入了這一后門程序，它會利用現(xiàn)有的后門程序功能，并使用它來通過WannaCry感染系統(tǒng)。如果系統(tǒng)此前未被感染和植入DOUBLEPULSAR，該惡意軟件將使用ETERNALBLUE嘗試?yán)肧MB漏洞。這就造成了近期在互聯(lián)網(wǎng)上爆發(fā)的大規(guī)模勒索蠕蟲病毒的事件。
病毒危害:
1. 主要針對文檔、圖片、視頻、音頻文件進(jìn)行加密，以此來勒索用戶付費(fèi)解密。
2. 破壞操作系統(tǒng)還原功能設(shè)置，使操作系統(tǒng)還原功能失效。
3. 病毒本身會結(jié)束操作系統(tǒng)部分系統(tǒng)工具，使用戶無法及時(shí)阻止病毒運(yùn)行。
文件系統(tǒng)變化:
       新增病毒文件：（包含加密、解密、提權(quán)、密鑰等病毒相關(guān)加載模塊）

被感染主機(jī)會遍歷磁盤目錄，加密以下類型的文件，修改后綴名為.WNCRY

注冊表變化:
       創(chuàng)建注冊表項(xiàng):
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0      
修改注冊表值:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0\Start     Start      值: 0x00000002(2)
修改注冊表值:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0\ImagePath
ImagePath  值: C:\Documents and Settings\Administrator\桌面\sample -m security
網(wǎng)絡(luò)癥狀:
1、病毒會訪問以下網(wǎng)址：http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
如果病毒訪問成功，病毒直接退出，病毒主體不在主機(jī)運(yùn)行，不發(fā)作。如果訪問失敗，病毒開始運(yùn)行，對主機(jī)文件進(jìn)行加密，破壞用戶文件。
2、利用TCP 445端口（Server Message Block/SMB）進(jìn)行病毒傳播
隨機(jī)生成IP，并利用漏洞攻擊其它未感染主機(jī)，惡性傳播。
->  [55.228.189.198 : 445 (microsoft-ds)]
->  [52.166.248.116 : 445 (microsoft-ds)]
->  [201.110.157.85 : 445 (microsoft-ds)]
->  [116.153.193.137 : 445 (microsoft-ds)]
->  [114.110.132.72 : 445 (microsoft-ds)]
->  [137.191.174.152 : 445 (microsoft-ds)]
 ->  [80.237.60.1 : 445 (microsoft-ds)]
->  [153.75.110.68 : 445 (microsoft-ds)]
... ...
病毒主要行為:
1、初始文件sample.exe會釋放并執(zhí)行tasksche.exe文件，然后鏈接網(wǎng)絡(luò)http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 。
2、如果鏈接成功，病毒不發(fā)作。如果鏈接不成功，創(chuàng)建mssecsvc2.0服務(wù)并設(shè)置自啟動(dòng)，病毒開始運(yùn)行發(fā)作。判斷參數(shù)是否小于2，以兩種方式執(zhí)行mssecsvc.exe文件。再次執(zhí)行會檢查被感染電腦的IP地址，并嘗試聯(lián)接到相同子網(wǎng)內(nèi)每個(gè)IP地址的TCP 445端口，進(jìn)行漏洞攻擊。
3、流程一：
a、創(chuàng)建服務(wù),服務(wù)名稱: mssecsvc2.0，參數(shù)為當(dāng)前程序路徑 –m security。
b、獲取kernel32.dll地址，定位調(diào)用函數(shù)地址。
c、查找資源，釋放樣本的加密模塊，拼接字符串為釋放路徑，createfile并啟動(dòng)程序。
4、流程二：
a、啟動(dòng)服務(wù)進(jìn)入服務(wù)函數(shù)，創(chuàng)建線程 執(zhí)行相應(yīng)功能。
b、攻擊線程中構(gòu)造exploit 發(fā)送漏洞利用程序數(shù)據(jù)包。
c、發(fā)送數(shù)據(jù)包，利用漏洞攻擊攻擊隨機(jī)生成的IP。
5、加密模塊啟動(dòng)：
a、復(fù)制自身到C:\ProgramData\dhoodadzaskflip373（文件夾名通過計(jì)算機(jī)名稱和隨機(jī)值計(jì)算出來存在差異）目錄下，寫入注冊表信息設(shè)置自啟動(dòng)項(xiàng)。
b、獲取資源目錄中相關(guān)數(shù)據(jù)，釋放其功能模塊到當(dāng)前目錄（包括提權(quán)模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@），給當(dāng)前目錄下文件設(shè)置隱藏屬性和所有用戶訪問權(quán)限。
c、整個(gè)加密過程采用RSA+AES的方式完成，其中RSA加密過程使用了微軟的CryptAPI，AES代碼靜態(tài)編譯到dll。
d、遍歷查找磁盤文件，進(jìn)行文件加密，在每個(gè)目錄下創(chuàng)建@WanaDecryptor@.exe。
e、根據(jù)文件后綴名，比較文件類型是否為其中類型，進(jìn)行加密處理。
f、生成WNCRY后綴的加密文件。

6、解密模塊：
解密模塊運(yùn)行之后會刪除Windows自動(dòng)備份，無法還原被加密的文件。
彈出被加密勒索的提示界面

樣本詳細(xì)分析報(bào)告（見：WannaCrypt詳細(xì)分析報(bào)告）