Browse By

Windows XP instável demais para espalhar WannaCry

Não é um artigo super sério, mas achei muito divertido – aparentemente, o Windows XP tem um BSOD (Blue Screen of Death) quando confrontado com uma infecção WannaCry .

Windows XP instável demais para espalhar WannaCry

Há uma análise muito extensiva do WannaCry aqui, de onde essas informações vêm do WannaCry: duas semanas e 16 milhões de resgates desviados depois .

Sim, o WannaCrypt pode infectar todas as máquinas que ainda executam o Windows XP, mas, como o XP é tão esquisito, é improvável que as caixas zumbis tenham contribuído muito para a disseminação do worm.

Essa é a conclusão dos pesquisadores da Kryptos Logic após algumas semanas destruindo máquinas simuladoras de testes de colisão no laboratório.

A empresa observa que a taxa de infecção provavelmente atingiu até 727.000 IPs únicos no auge.

No início da infecção, foi assumido – inclusive por El Reg – que os sistemas Windows XP sem patch faziam parte do problema, principalmente porque ele vive nos sistemas de vítimas precoces, do Serviço Nacional de Saúde da Inglaterra.

O Kryptos (cuja lista inclui o célebre holware MalwareTech) bateu a cabeça por um motivo quase cômico: sim, o WannyCrypt poderia infectar máquinas XP, mas a carga subjacente do DOUBLEPULSAR continuava atingindo os alvos.

Parece que a suposição inicial de que o WannaCry teria muitas máquinas Windows XP envolvidas parece provavelmente falsa, pois a execução da carga útil nas máquinas XP SP3 (a mais comum) provocou um BSOD aleatório e a reinicialização.

Ainda é um sistema operacional bastante comum, vejo a maioria das máquinas ATM na Ásia executando o Windows XP ou o Windows XP Embedded como o sistema operacional host.

Está bem abaixo da barra de rolagem nesta extensa análise do WannaCrypt:

Os pesquisadores estavam executando a infecção passo a passo: primeiro, execute manualmente o binário WannaCrypt em uma máquina Windows 2008 Server SP1; segundo, testar a propagação por meio da exploração ETERNALBLUE; e terceiro, envie a carga útil usando DOUBLEPULSAR.

Em seguida, o pessoal do Kryptos começou a trabalhar em sistemas de teste de backdoor manualmente com o DOUBLEPULSAR. Embora isso tenha funcionado bem no Windows 7 de 64 bits, SP1, “foi constatado que os dois hosts do Windows XP mantinham a triagem azul e a reinicialização sem que nenhuma infecção ocorresse”.

Isso não significa que o XP foi misteriosamente protegido pelo amor ao BSOD – se você conseguisse que um usuário o executasse manualmente localmente, ele criptografaria os arquivos da vítima.

No entanto, escreve Kryptos, o XP provavelmente não contribuiu muito para o número de máquinas infectadas, “já que o principal vetor de infecção era a exploração de PME” porque “a exploração implementada no WannaCry não parece implantar DOUBLEPULSAR de maneira confiável e obter o RCE adequado. “

Essas foram as descobertas basicamente:

  • Windows XP com Service Pack 2 – Sem infecção
  • Windows XP com Service Pack 3 – Tela azul aleatória da morte (BSOD), mas nenhuma infecção
  • Windows 7 de 64 bits com Service Pack 1 – infectado após várias tentativas
  • Windows Server 2008 com Service Pack 1 – Não foi possível replicar a infecção, mas relatou a exploração

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.