「安全通告」新版“LemonDuck”搭载“永恒之蓝”，新增EXE攻击模块惹人关注(5)

而Ode.bin文件的功能为生成4到8位字符组成的随机字符作为文件名<随机字符>.exe；从http[：]//167.71.87.85/20.dat地址下载文件另存为C：WindowsTemp<random>.exe同时创建计划任务"MicrosoftWindows<随机字符>.exe"并间隔50分钟执行一次，如不能创建计划任务则生成C：WindowsTemp t.vbs文件，通过VBS脚本创建计划任务“<随机字符>.exe"，达到定时启动的目的。

通过计划任务执行的20.dat(拷贝至C：WindowsTemp<random>.exe md5：ef3a4697773f84850fe1a086db8edfe0)实际上是由Python代码打包的扫描攻击模块。<random>.exe中解码出Python实现的永恒之蓝漏洞攻击代码如下，另外还会执行$IPC、SMB、mssql弱口令爆破攻击：

攻击成功后执行shellcode：
1、下载和执行Powershell代码gim.jsp；
2、修改administrator账户登陆密码为k8d3j9SjfS7并激活administrator账户；
3、添加防火墙规则允许65529端口访问并开启监听。