e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

WannaCry蠕虫详细分析

2017/5/18    来源:FreeBuf    作者:佚名      
关键字:WannaCry蠕虫  木马  
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密,本文对其进行详细分析。
    木马概况:
 
    WannaCry木马利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染,并作为攻击机再次扫描互联网和局域网其他机器,行成蠕虫感染大范围超快速扩散。
 
    木马母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。
 
    木马加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
 
WannaCry蠕虫详细分析
 
    详细分析:
 
    mssecsvc.exe行为:
 
    1、开关:
 
    木马在网络上设置了一个开关,当本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com时,退出进程,不再进行传播感染。目前该域名已被安全公司接管。
 
   WannaCry蠕虫详细分析
 
    2、蠕虫行为:
 
    通过创建服务启动,每次开机都会自启动。
 
WannaCry蠕虫详细分析
 
    从木马自身读取MS17_010漏洞利用代码,playload分为x86和x64两个版本。
 
WannaCry蠕虫详细分析
 
    创建两个线程,分别扫描内网和外网的IP,开始进程蠕虫传播感染。
 
WannaCry蠕虫详细分析
 
    对公网随机ip地址445端口进行扫描感染。
 
WannaCry蠕虫详细分析
 
    对于局域网,则直接扫描当前计算机所在的网段进行感染。
 
WannaCry蠕虫详细分析
 

责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
兴趣阅读
相关资料
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐