WannaCry病毒的壹個進程名叫mssecsvc.exe。
1、原病毒文件mssecsvc.exe,會釋放並執行tasksche.exe文件,然後檢查kill switch域名。
2之後它會創建mssecsvc2.0服務。該服務會使用與初次執行不同的入口點執行mssecsvc.exe文件。
3、第二次執行會檢查被感染電腦的IP地址,並嘗試聯接到相同子網內每個IP地址的TCP 445端口。
4、當惡意軟件成功聯接到壹臺電腦時,將會建立聯接並傳輸數據。
1、所有通過操作系統的文件系統進行感染的病毒都稱作文件病毒,所以這是壹類數目非常巨大的病毒。理論上可以制造這樣壹個病毒,該病毒可以感染基本上所有操作系統的可執行文件。
2、已經存在這樣的文件病毒,可以感染所有標準的DOS可執行文件:包括批處理文件、DOS下的可加載驅動程序(.SYS)文件以及普通的COM/EXE可執行文件。
3、當然還有感染所有視窗操作系統可執行文件的病毒,可感染文件的種類包括:視窗3.X版本,視窗9X版本,視窗NT和視窗2000版本下的可執行文件,後綴名是EXE、DLL或者VXD、SYS。