Virüsün Ukrayna'daki bir yazılımın güncelleme paketinden yayılmaya başladığı düşünülüyor. Cisco Systems'in güvenlik araştırması kuruluşu Talos'un ilk analizleri, saldırının Ukrayna'da başladığını doğruluyor.
Şirket, hazırladığı raporla MeDoc adı verilen muhasebe yazılımının güncelleme dosyası içinde yayılmaya başladığını kaydetti. MeDoc yazılımını hazırlayan aynı adlı şirket de durumu doğruladı.
Talos'un web sitesinde yayımladığı yazıya göre, virüs bulaşan sistemlerde "Perfc.dat" adlı bir dosya bulunuyor. Bu dosya sistemi ele geçirmek için gereken adımları gerçekleştiriyor.
Zararlı yazılımdaki bir kütüphane, sistemde yönetici yetkisine ulaşıyor ve başarılı olduğunda da, bilgisayarın diskinin açılış kaydının (MBR) üzerine yazıyor. Ayrıca sistemde 139 no'lu portu TCP trafiğine açıyor.
Sistem enfekte olduktan sonra üç farklı mekanizma işliyor. Bunlardan ilki EternalBlue adını taşıyor ve WannaCry tarafından kullanılan sistem açığını içeriyor.
Psexec adlı ikinci mekanizma, Windows'un içerisindeki bir sistem yönetim aracı. Üçüncü araç da Windows'ta bulunan WMI adlı Windows Yönetim Aracı adlı bir bileşen.
Bu üç mekanizma ile perfc.dat dosyası diğer sistemlere gönderiliyor ya da kuruluyor. Virüs, WannaCry'da olduğu gibi MS17-010 güncellemesi kurulu olmayan sistemleri ele geçirebiliyor.
