首页 » Network_security » Network_A_D » 正文

NSA’s eternalblue+勒索软件蠕虫血洗全球(第二弹-紧急开关)

2017年5 月 12 日晚上 20 时左右,全球爆发大规模勒索软件感染事件,详情见NSA’s eternalblue+勒索软件蠕虫血洗全球

据说这次事件的幕后黑手是美国缅因州波特兰高中的一名高中生(oh my god)。

事件峰回路转,5月13日,全网的WannaCry蠕虫病毒攻击突然减弱消退了!所有这一切功劳来自于英国研究人员@malwaretech,他通过逆向分析病毒代码发现WannaCry代码中有一个特殊域名地址:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

这个域名地址思科的网络安全人员也发现了,并且,昨天之前,网络上完全没有针对这个域名的访问流量,仅昨天一天时间,这个域名的访问量就达到每小时1400多次。
而且这个域名没被注册,接着就注册了这个域名,注册成功后,他发现这个域名可以接收到世界各国电脑系统的连接请求, 随着各路安全人员的逆向深入,发现该域名像是病毒制作者为防止事态失去控制,而故意留下的一个紧急停止开关,因为逆向代码中有这样一段程序:

(图片来源于网络)

大概逻辑:

访问此域名

if 域名存在

退出

域名不存在

继续攻击

病毒在感染了机器之后发作之前都会访问这个域名(发出http get请求),如果不存在(dns解析失败)就继续传播感染别的机器,如果此域名已经被注册,就停止传播。 所以,malwaretech的一个随手就关闭了病毒的传播。

但是,可能这个病毒很快会有变种,变异WannaCry程序可能就没紧急开关了,不过,经过了第一波的“洗礼”,估计第二波的影响就不会 像第一波那么大了。

所以手动修改host文件,让该域名指向任意有效HTTP服务(比如某些可用网站),都可以起到“免疫”的效果。或者说让这个域名解析成功不要返回404,返回成功的响应就ok了。

参考链接:
http://www.freebuf.com/news/134622.html
http://www.csdn.net/article/a/2017-05-14/15823633

Comment