WannaCry代理知道吗？

Question

我阅读了WannaCry on malwaretech.com的文章，据我所知，它的工作方式如下：

• 尝试通过HTTP连接到www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• 如果得到回应，那就退出。
• 如果没有，做下一部分(加密等)

据我所知，未注册域的寄存器是否使(第一) WannaCry不再可操作？

这是因为代码的一部分在打开到该域的网络连接时会检查是否得到了答案。

因此，如果将发送到(理论上)不存在的域的请求和代理将不只是尝试连接并得到“连接拒绝”消息，而是将流量重定向到现有主机(这通常只是说WannaCry不可到达)，那么(第一个)就永远不会激活吗？

Answer 1

尽管投了反对票，但这实际上是一个很有价值的问题。WannaCry不能很好地处理系统代理设置，因此如果使用代理，则需要这样做才能激活清除开关。

我确实测试了样本，它并不是代理感知的。在具有HTTP代理且与Internet没有直接连接的环境中，示例无法连接到杀伤开关域，并且会感染主机。https://blog.didierstevens.com/2017/05/13/quickpost-wcry-killswitch-check-is-not-proxy-aware/

关于你的问题

如果在某种类型的网络中，防火墙或某种在您和Internet之间的硬件/软件将流量重定向到本地服务器(如果远程服务器无法访问)，那么(第一) WannaCry是否永远不会激活？

是的，那就行了。如果可执行文件能够到达iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，，它将停止执行，而不会进一步传播。