2.1.2. 如果上述域名无法访问,则会安装病毒服务,服务的二进制文件路径为当前进程文件路径,参数为:-m security,并启动服务。
2.1.3. 释放资源到C:\WINDOWS目录下的tasksche.exe(该程序是勒索病毒),并将其启动。
2.1.4. 蠕虫病毒服务启动后,会利用MS17-010漏洞传播。传播分为两种渠道,一种是局域网传播,另一种是公网传播。如下图所示:
局域网传播主要代码如下图:
病毒会根据用户计算机内网IP,生成覆盖整个局域网网段表,然后循环依次尝试攻击。相关代码如下:
