你正在浏览:电脑问题网 > 电脑安全 > 电脑安全 > “魔窟”是否已经出现“开关域名”失效的2.0版本

“魔窟”是否已经出现“开关域名”失效的2.0版本

  • 来源:电脑问题网
  • 作者:电脑安全
  • 审核:电脑问题网
  • 时间:2017-05-15 13:34
  • 阅读:
  电脑问题网-电脑安全

  “魔窟”是否已经出现“开关域名”失效的2.0版本

  答:5月13日,来自英国的 “MalwareTech”发现该蠕虫预留了一个中止条件,即蠕虫运行时如果能访问到“开关域名(也有部分机构称之为灭活域名)”则退出程序,文件也不会被加密;如果访问“开关域名”失败则执行加密用户文件等恶意行为,而该开关域名当时并未被注册,因此“MalwareTech”注册了这一域名来阻断这一恶意代码传播。5月14日,网上开始流传该蠕虫已经出现“WannaCry 2.0”版本,“开关域名”已经失效的信息。安天分析小组结合监测数据和样本集分析认为,截止到2017年5月14日22:00,并未出现所谓开关域名失效的版本。但通过样本交换通道发现有其他开关域名被篡改的版本。这一信息事实上是国内媒体是对卡巴误发布信息的报道。实际上,该病毒确实有两个版本,其1.0版本最早于3月29日被安天捕获,其并无主动传播模块,也不受开关域名的约束,而此时NSA“永恒之蓝”相关漏洞也尚未泄露。其2.0版本就是在2017年5月12日大规模爆发并被各安全厂商所分析的版本。安天此前分析已经指出,魔窟分成传播框架和释放出来的加密模块。其中传播框架受到开关域名的约束,而其加密模块与此前的1.0版本基本逻辑一致,自身不具备主动传播的属性,其内部均未设置开关域名条件(可以参见此前安天分析报告的样本集合列表说明)。

  安天分析相关事件的原委后认为:卡巴斯基Costin Raiu在推特上发出错误消息(已经于13日中午删除),认为存在所谓“WannaCry 2.0”版本,是这一乌龙事件的起源。其他网站有转发的相应内容:

“魔窟”是否已经出现“开关域名”失效的2.0版本

  之后卡巴已经澄清了相关消息:

“魔窟”是否已经出现“开关域名”失效的2.0版本

  安天从协作分析的友商和机构获得的所谓“开关域名”失效的2.0版本的HASH均为“84C82835A5D21BBCF75A61706D8AB549”,该版本依赖HASH 为“D5DCD28612F4D6FFCA0CFEAEFD606BCF”和“db349b97c37d22f5ea1d1841e3c89eb4”的母体传播,而开关域名对该母体是有效的。
  同时我们必须冷静的看到,攻击者可以非常容易的将目前的蠕虫修改为开关域名无效的版本,或者修改为其他的开关域名条件。而其他攻击者,即使没有源码,也只需要修改几个字节的二进制就会导致开关域名的失效。安天目前已经从后台样本库汇总,找到两个开关域名被修改的样本,其修改后的开关域名均为“www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com”,但未找到相关样本的网络侧关联数据,目前无法确认这两个版本是真实传播的,还只是恶作剧提交。显然将这一蠕虫的响应,完全寄托在攻击者预留的这个彩蛋身上和四两拨千斤式的开关域名条件建立上,是不可靠的。同时,安天不建议内网用户通过直接连通相关域名来灭活,而仍然建议用户通过内网DNS对灭活域名进行解析。 [本文来自电脑问题网-亚洲最大.最全.最实用的电脑问题技术网站,永久网址http://www.pcwenti.com,转载本文务必注明来源。]

热点排行