Az EternalRocks névre keresztelt malware egyelőre nem okozott jelentős károkat, viszont agresszíven terjed, és ha "felfegyverzik", a WannaCry-nál is komolyabb következményekkel járhat.
Az EternalRocks nemcsak a korábban a Shadow Brokers hackercsoport által kiszivárogtatott és a WannaCry zsaroló program által használt EternalBlue és a DoublePulsar exploitokat, hanem öt további hasonló eszközt alkalmaz: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch és SMBTouch. Ezek többsége a Microsoft Server Message Block (SMB) protokollt célozza, amely a hálózati csomópontok közötti hozzáférés-megosztásért felelős.
A kártevő kétlépcsős telepítési eljárást hajt végre, miután megfertőzte a célrendszert. Az első lépésben letölti a TOR-klienst, amelyet kommunikációs csatornaként használva kapcsolatba lép a Command & Control (C&C) parancsvezérlő szerverével. A C&C kiszolgáló a megszokottól eltérően nem azonnal, hanem csak 24 óra elteltével küld választ. Ez a késleltetett visszajelzés feltehetőleg azt a célt szolgálja, hogy ezáltal megkerülhető legyen a sandbox tesztelés és a biztonsági elemzés. Amikor a C&C kiszolgáló válaszol, elküldi a taskhost.exe nevű fő összetevőt, ez letölti a shadowbrokers.zip nevű tömörített fájlt, amely a biztonsági réseket kiaknázó exploitokat tartalmazza. A kitömörítés után az EternalRocks figyelni kezdi az internetet, és olyan rendszereket keres, amelyeken meg van nyitva a 445-ös port, mivel ez szolgál átjáróként a féreg fertőzéséhez. Az EternalRocks által kiaknázott biztonsági rések egy részét a Microsoft már javította a márciusban kiadott MS17-010 frissítéssel.
Veszélyesebb, mint a WannaCry
Az egyik lényeges különbség a WannaCry és az EternalRocks között, hogy az utóbbi nem tartalmaz rosszindulatú elemet, legalábbis az eddigi megfigyelések szerint. Mivel azonban gyorsan képes terjedni, az EternalRocks-fertőzött rendszerek nemkívánatos következményeket szenvedhetnek el, ha a kártevőt valaki felfegyverzi.
A WannaCry ezenfelül tartalmaz egy vészleállító kapcsolót, amely azonnal aktiválódik, ha észleli, hogy egy adott tartomány "élő". Az EternalRocksban nincs ilyen vészleállító kapcsoló, így a valós támadások sokkal nehezebben lassíthatók.
A WannaCry-botrány óta a legtöbb helyen már frissítették a rendszereket. Akik még nem tették meg, azok számára a potenciálisan még veszedelmesebb kártevő megjelenése sürgetőleg hat. Mivel az EternalRocks szintén a WannaCry által alkalmazott eszközöket alkalmazza, a felhasználóknak és rendszergazdáknak egyaránt érdemes mielőbb frissíteniük a rendszereiket, még mielőtt az EternalRocksot valaki kártékony tulajdonságokkal vértezi fel.