本文講的是利用互斥體阻斷想哭蠕蟲，實現聯網升級，WanaCry想哭蠕蟲肆虐，在全球范圍內爆發。集團擁有數量巨大的終端用戶，在經歷斷網升級之痛后的總結分析過程中，海航云安全團隊發現了利用病毒互斥體實現蠕蟲阻斷，支持用戶聯網升級的有效方法。

0x1 WannaCry 2.0變種蠕蟲抽樣分析樣本信息

?

0x2蠕蟲邏輯分析

病毒WinMain函數的控制流如下，在執行的過程中，病毒會釋放一些資源文件，用于加密文件或與tor服務器聯系：

?

?

病毒程序在0x00401F5D處，釋放tasksche.exe等惡意資源文件，但并未執行。如下圖所示：

在地址0x00401EFF處，病毒程序創建一個名為MsWinZonesCacheCounterMutexA的互斥體。為了阻止運行多個實例，病毒運行的時候會檢查該互斥體，如果該互斥體存在，那么病毒就認為已經有另一個病毒實例在運行了，于是就阻塞在這里等待不再繼續執行了。運行流程如下圖所示：

0x3病毒阻止方式

只需要在病毒加載之前，先獲取到名為MsWinZonesCacheCounterMutexA的互斥體，就可以阻止病毒運行。

例如，在powershell中，運行如下命令：

$mutex?=?New-Object?-TypeName?System.Threading.Mutex($true,?"MsWinZonesCacheCounterMutexA",?[ref]$false)

?

我們做了一個測試，如下圖，可以看到：病毒已經釋放資源，但測試文檔1并沒有被加密。只要保持名為MsWinZonesCacheCounterMutexA的互斥體存在，病毒惡意代碼就會被掛起暫時不再繼續執行進行加密和傳播。

可以使用該方法實現免疫功能，之后就可以聯網進行補丁升級。實現自動化工具也非常簡單，源代碼也在此一并發布供大家參考。

原文發布時間為：2017年5月16日 本文作者：海航云安全 本文來自云棲社區合作伙伴嘶吼，了解相關信息可以關注嘶吼網站。 原文鏈接

總結

以上是生活随笔為你收集整理的利用互斥体阻断想哭蠕虫，实现联网升级的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。