近日，火绒安全团队通过”火绒威胁情报系统”发现蠕虫病毒”Worm/Sharp”正在全网传播，在政府、企业、学校、医院等单位的局域网具有非常强的传播能力。该病毒通过”永恒之蓝”漏洞、多个电脑常用端口传播，入侵电脑后，会横向攻击局域网内所有电脑，同时还会在用户电脑中留下后门病毒，用以执行更多恶意攻击，如勒索病毒、挖矿病毒。

　　火绒工程师通过技术分析发现，该蠕虫病毒会通过远程服务器和自身爬虫功能收集局域网内的IP列表，然后对其中的多个服务端口发起攻击，包括RPC服务(135端口)、SQLServer服务(1433端口)、FTP服务(21端口)，同时还会通过 “永恒之蓝”漏洞，入侵445端口，攻击电脑。

　　由于该病毒针对企业不便关闭的多个常用端口进行攻击，并且利用了局域网电脑中普遍未修复的”永恒之蓝”漏洞，一旦任何一台电脑被该病毒感染，将意味着局域网内所有电脑都面临被感染的风险，尤其给政企机构用户造成极大威胁。

　　如果病毒成功入侵或攻击端口，就会从远程服务器下载病毒代码，进而横向传播给局域网内其他电脑。同时，该病毒还会在被感染电脑中留下后门病毒，以准备进行后续的恶意攻击，不排除未来会向用户电脑传播更具威胁性病毒的可能性，例如勒索病毒等。

　　火绒工程师通过技术溯源发现，从2017年06月23日(甚至更早) 至今，该黑客组织一直使用该系列蠕虫在全网进行大规模的信息收集。且一直保持对病毒的更新。

　　火绒”企业版”和”个人版”最新版均可彻底查杀蠕虫病毒” Worm/Sharp “。同时，政府、企业、学校、医院等受此类病毒威胁较大的局域网用户，我们建议申请安装”火绒企业版”，可有效防御局域网内病毒屡杀不绝的难题。目前火绒免费提供三个月试用期，欢迎大家前来体验试用。

　　今年上半年，”火绒终端威胁情报系统”检测到Worm/Sharp变种在肆意传播，Worm/Sharp或将卷土重来。该变种通过与C&C服务器进行通讯以及内置的爬虫功能获取目标的IP地址及端口，对RPC服务(135端口)、SQLServer服务(1433端口)、FTP服务(21端口)进行爆破，使用永恒之蓝漏洞对445端口进行入侵，如果入侵或爆破成功则执行脚本从C&C服务器上下载初始样本，初始样本经过多重释放，最终运行Worm/Sharp蠕虫。除此之外还会判断目标IP是否为代理服务器，以及对从C&C服务器获取的路由器IP地址列表发起TCP连接以判断7547端口的连通性，为下一步的攻击做准备。

　　初始样本(A22.exe)由VB编写并且加了PECompact壳，在执行过程中会释放lib32waxe.exe，并创建服务WaxeSvc，主流程执行完后会启动自删除进程。初始样本主流程，如下图所示：

　　lib32Waxe.exe带有混淆器在执行过程中解压缩 Worm/Sharp蠕虫代码。载入二进制资源代码，如下图所示：

　　载入的二进制资源经过zlib压缩，zlib版本为1.2.3。解压后可以获得意代码。解压缩代码，如下图所示：

　　该蠕虫分为获取被攻击的IP列表和入侵攻击两部分功能，两部分功能相互协作，不分先后，且两部分功能中的每一个操作均为一个独立线程。

　　该蠕虫内置了爬虫功能，可以根据随机字符串搜索、关键字搜索、与C&C服务器通讯和Weblogs搜索来扩充自己的IP列表，为入侵攻击功能提供数量庞大的主机列表。

　　在List_Filter方法中会根据端口号对list中的目标主机进行分类，为入侵攻击功能提供攻击目标。

　　TCP_Connect函数与上述类似，只是请求的地址有所不同，通讯地址为/ip/tcp.aspx)，主要筛选135、445星星服务器ip代理、1433端口的IP地址。整体逻辑，如下图所示：

　　通过访问黑客的C&C服务器（，下载FTP上的exe并执行。该功能可以作为一个后门功能，便于后续攻击的展开。相关代码，如下图所示：

　　蠕虫会通过与C&C服务器ip/google.aspx)进行通讯获取加密后的IP列表，解密过滤后，加入相应的List中。入侵攻击功能分为以下6个部分：FTP爆破、135端口爆破、445端口入侵、1433端口爆破、7547端口回连、代理服务器检测，并且当断网的情况下，会自动遍历内网IP对内网的其他服务器进行爆破和漏洞攻击。功能线程，如下图所示：

　　获取被攻击的IP列表功能中已经对FTP的列表进行了扩充，所以在入侵攻击功能中直接开始爆破，内置的字典(部分)，如下图所示：

　　该蠕虫除了爆破功能之外还会通过漏洞进行入侵，使用永恒之蓝对服务器进行攻击。 部分Payload，如下图所示：

　　在获取被攻击的IP列表功能中已经对从C&C服务器获取的路由器IP列表进行了过滤和检测，入侵攻击功能中对该列表进行DES加密URL编码后发送到C&C服务器ip/port_set.aspx)。通讯代码，如下图所示：

　　当端口不是135、445、1433、7547时，会检测目标机器的IP地址和端口是否为代理服务器，将其作为代理服务器连接Yahoo，连接成功则进行DES加密发送给C&C服务器proxy/google.aspx)。逻辑流程，如下图所示：