病毒母体c.exe运行后，会先自克隆一份到C盘根目次，然后释放运行打单病毒cpt.exe，暗码窃取东西mmkt.exe，以及blue.exe、star.exe等永恒之蓝进攻套件。

跟着大部门企业终端都打上了MS17-010补丁，病毒利用永恒之蓝裂痕举办流传的乐成率大大下降，但逐步的，病毒都开始回收mimikatz凭证窃取的方法举办横向移动，只要一台病毒传染了一台内网主机，就能继承流传到另一台暗码沟通的主机，，所以，发起各人，内网终端只管不要配置沟通的暗码，制止一个终端中毒，导致全网瘫痪。

打单追踪

添加注册表自启动项Win0Start，实现开机自动运行打单病毒cpt.exe。

概述

末了

病毒运行后，通过抓包发明，它会与C&C处事器111.90.159.105举办通信，上传加密文件信息、主机信息、病毒运行状态信息。

在代码还发明白泛微OA的裂痕操作代码。

谷歌舆图定位到，这是吉隆坡一个叫Jalan Perdana的处所。

若上述凭证窃取的要领登岸失败，则操作永恒之蓝、双脉冲星裂痕举办横向流传。

病毒母体为c.exe，文件编译的时间为11月3号。

对该IP举办追踪，发明该C&C处事器来自于马来西亚。

通过以上信息，我们判定这个C&C处事器极有大概只是黑客一个拿来中转的肉鸡，黑客真正的藏身地并不在此。

流传进程，首先病毒会利用Mimikatz窃取用户根据（这里作者编码的mmkt.exe运行堕落了，所以没有窃取到根据），然后挪用WMIC长途下载执行病毒母体，实现横向流传打单病毒。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。