Comaeio 創辦人 Matthieu Suiche 從新感染的電腦上發現最新的變種 WannaCry ,此新變種已非 14 日卡巴斯基實驗室發現的「無 Kill Switch 版」,而已經改用新的 Kill Switch 地址。
原始攻擊已被檔下
原始版本使用 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 為 Kill Switch 自我毁滅開關,隨即被 MalwareTech 的有心人發現並第一時間註冊域名,暫時停止擴散。
Kill Switch 不是攻擊者良心
說到這裡先解釋一下為何病毒會設置 Kill Switch 自我毁滅開關,當然不是為了最後的良心,而是用來逃避防毒軟體的分析。防毒軟體為擬似病毒的檔案,設置一個虛擬運作環境,這個環境會阻擋病毒任何網路連線,但同時會製造假回應讓病毒以為成功連接,引它出手攻擊。
Wannacry 的自我毁滅開關就是用來檢測是否處於防毒軟體下的虛擬環境中,上面的域名本應沒有人註冊,因此不會得到任何 DNS 回應,但若在防毒虛擬環境下反會有回應,因此若 Wannacry 知道是防毒軟體下的環境,會停止動作以免被偵測殺掉,並在電腦上等待其他機會。
2.0 只是未成品
因此 14 日卡巴斯基實驗室全球研究與分析團體總監 Costin Raiu 向外媒證實,沒有 Kill Switch 的「完美版」WannaCry 已經出現。但 Matthieu Suiche 發現此版本只能部分運作,相信是攻擊者未完成的失敗作,雖不具殺傷力但仍有傳播力,因此不構成安全威脅。
▲ 2.0 病毒封包損毀,部分檔案不能解壓縮。
真 3.0 版本殺出
不過故事未結束,3.0 新變種從新受感染的電腦偵測出來,經 Matthieu Suiche 逆向破解後發現使用了 ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 為新 Kill Switch 地址,幸運的是 Matt 立即用同樣手法搶先買了該域名,阻止擴散。並且將連結數同步到即時 WannaCry 感染地圖上。
(本文由 Unwire HK 授權轉載;首圖來源:Malwaretech)