WannaCry Proxy è consapevole?

2

Ho letto l'Articolo di WannaCry su malwaretech. it e per quanto ho capito funziona così:

  • Prova a connetterti tramite HTTP a www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • se riceve una risposta, quindi esci.
  • se no, fai la parte successiva (crittografia ecc.)

Perquantoneso,ilregistrodiundominiononregistratoharesoil(primo)WannaCrynonpiùutilizzabile?

Ilmotivoècheunapartedelcodicecontrollasehaottenutounarispostaquandohaapertounaconnessionedireteaqueldominio.

Quindi,selarichiestacheverrebbeinviataaldominio(teorico)nonesistenteealproxy,invecediprovareaconnettersieottenereunmessaggio"Connessione rifiutata", reindirizzare il traffico a un host esistente (che per lo più solo dire che l'URL non è raggiungibile), il (primo) WannaCry non si attiva mai?

    
posta Serverfrog 17.05.2017 - 13:43
fonte

1 risposta

2

Nonostante i downvotes questa è in realtà una domanda preziosa. WannaCry non funziona bene con le impostazioni del proxy di sistema, quindi se usi un proxy, dovrai farlo per attivare il killswitch.

I did test the sample, it is not proxy aware. In an environment with an HTTP proxy and no direct connections to the Internet, the sample can not connect to the killswitch domain and it will infect the host. https://blog.didierstevens.com/2017/05/13/quickpost-wcry-killswitch-check-is-not-proxy-aware/

Quindi alla tua domanda

if in some kind of network, the firewall or some kind of piece of Hardware/Software that is between you and the Internet redirects the traffic to a local server if the remote Server is not reachable, would the (first) WannaCry never go active?

Sì, questo sarebbe il trucco. Se l'eseguibile può raggiungere iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, interromperà l'esecuzione e non si diffonderà ulteriormente.

    
risposta data 17.05.2017 - 14:39
fonte

Leggi altre domande sui tag