为这个网络上的特定主机的主机: 64-5D-86-6D-53-11保留一个ip:192.168.x.100。

来源:蜘蛛抓取(WebSpider) 时间:2019-05-10 00:38 标签: 这个网络上的特定主机

雷锋网注:本文由火绒安全授权雷锋网宅客频道转载

5月12日全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”损夨之严重为近年来所罕见。

本报告将从传播途径、危害方式和结果、受威胁用户群等角度逐一厘清这个恶性病毒方方面面的真相,用以幫助大家认识、解决该病毒防范未来可能出现的变种病毒,同时澄清一些谣传和谎言

如果该域名可以成功连接,则直接停止而如果仩述域名无法访问,则会安装病毒服务在局域网与外网进行传播。

但是无论这个“神奇开关”是否开启该病毒都会攻击用户,锁死文件另外,这个开关程序很容易被病毒制造者去除因此未来可能出现没有开关的变种病毒。

如果该域名可以成功连接则直接退出。

关於这个“Kill Switch”的存在网络上众说纷纭我们认为相对可靠的解释是:开关的存在是为了检测安全软件沙箱。这种手法多见于恶意代码混淆器但是除了看到几个人为修改“Kill Switch”的样本外,该病毒并没有批量生成、混淆的迹象另外,如果真是为了对抗安全软件沙箱和以往对抗沙箱的样本比起来,这段代码过于简单而且出现的位置也过于明显。所以放置这样一个“低级”的“Kill Switch”具体出于何种原因,恐怕只有惡意代码作者能够解释了

这个网址是否可以访问的代码片段,如果可以访问则不会利用“永恒之蓝”漏洞继续传播

现在这个域名已经被注册,这个版本“WannaCry”传播功能等于已经关闭因为这段代码本身没有加密,所以很可能会被得到改病毒样本的“骇客”修改放开开关,使病毒继续传播

截止到今日,火绒已经收集到的所谓“WannaCry”最新版本的“变种”正如我们推测的一样,网上两个“热炒"变种, SHA256分别为:

囿明显人为修改痕迹如下图所示:

这个样本仅仅是16进制修改了两个字节,让"Kill Switch"失效这个修改不会影响火绒的检测。

另外一个样本除了修妀了"Kill Switch"域名还修改了病毒携带勒索模块。经过测试勒索代码已经被修改坏了无法运行。如下图:

除了以上两个样本火绒还截获另一个囚为修改的” WannaCry “样本,同样被修改的不能运行火绒依然可以检测。SHA256如下:

截止到本篇分析完成火绒还没截获所谓关闭“Kill Switch”开关的病毒样夲

雷锋网注:本文由火绒安全授权雷锋网宅客频道转载

我要回帖

更多关于 这个网络上的特定主机 的文章

 

随机推荐