¿Es WannaCry Proxy Aware?

Navega tus respuestas
2

Leí el Artículo de WannaCry en malwaretech. com y, por lo que entiendo, funciona así:

  • Intente conectarse a través de HTTP a www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • si obtuvo una respuesta, salga.
  • si no, haz la siguiente parte (cifrado, etc.)

Porloquesé,¿elregistrodeundominionoregistradohacequeel(primer)WannaCryyanoseaoperativo?

Elmotivofuequeunapartedelcódigoverificasiobtuvounarespuestacuandoabrióunaconexiónderedaesedominio.

Entonces,silaSolicitudqueseenviaríaalDominio(teórico)noexistenteyelProxy,enlugardeintentarconectarseyrecibirunmensajede"Conexión rechazada", redirigirá el Tráfico a un host existente (que en su mayoría solo diga que la URL no es accesible), ¿el (primer) WannaCry nunca se activará?

    
pregunta Serverfrog 17.05.2017 - 13:43
fuente

1 respuesta

2

A pesar de los comentarios negativos, esta es realmente una pregunta valiosa. WannaCry no juega bien con la configuración del proxy del sistema, por lo que si usa un proxy, tendrá que hacer esto para activar el interruptor letal.

  

Probé la muestra, no es compatible con proxy. En un entorno con un proxy HTTP y sin conexiones directas a Internet, el ejemplo no puede conectarse al dominio killswitch e infectará al host.    enlace

Entonces a tu pregunta

  

si está en algún tipo de red, el firewall o algún tipo de Hardware / Software que se encuentre entre usted e Internet redirige el tráfico a un servidor local si el Servidor remoto no está disponible, el (primer) WannaCry nunca ir activo?

Sí, eso haría el truco. Si el ejecutable puede alcanzar iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, detendrá la ejecución y no se propagará más.

    
respondido por el J.A.K. 17.05.2017 - 14:39
fuente

Lea otras preguntas en las etiquetas

Cómo responder a un ataque de rescate ¿Cómo se convierte el malware en código ejecutable? [cerrado]