不懂...
為什麼虛擬機和實體機對不存在的網址表現上會不一樣?
虛擬機隨便連到不存在的網址不是一樣會顯示錯誤嗎?
有沒有高手可以詳細講解一下當中的原理?
※ 引述《tallgeese05 (呆呆)》之銘言：
: 剛剛看到的新聞
: 有人無意間發現了停止這個病毒的方式
: 不過小弟我不是資安或是資訊人員
: 所以還請各位版上的高手們幫忙鑑定一下真偽
: 以下是原文在“theguardian”的連結
: 文章標題是
: 'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack
: 然後是用google產生的短網址
: goo.gl/mAQfMj
: 希望對大家有幫助
: 這是發現者的twitter
: https://twitter.com/MalwareTechBlog

不對喔 它的判斷方式是 網域不存在時繼續執行、傳播當今天網域存在了 程式走不下去了 自然就不執行 不傳播比如網域是牆壁 程式丟球到牆上 當牆壁存在 球彈回來

所以作者更改一下要確認的網域就又可以繼續感染沒更新的電腦了，這則新聞一直報只會誤導民眾

程式接到球與在虛擬機中沒有牆壁球不會彈回來不同程式就傻住了 故不會繼續執行 大概是這個意思

不過他為什麼要設這個機制阿 讓他一直傳就好啦

應該是要避開一些認證啟動的簽證

有一說是避開防毒軟體的沙盒機制

這隻病毒跟疾風一樣,中獎者會幫忙傳播,所以加上煞車鎖(網域)換新變種的時候,才可以把舊版本的傳播功能鎖住

所以是作者在測試時怕中獎加的?不過測不是都在虛擬機裡側嗎為什麼換新變種要把舊的鎖住啊

其實這個機制一直覺得怪怪的，抓到=停止，但是本來就沒有

有些分析病毒的虛擬環境/虛擬機/沙箱會攔截連外的域名解析然後一律回報沙箱自身的IP

所以當查詢一個不存在的域名時竟然可以得到IP位址有很大的可能程式本身正運行在一個沙箱裡既然是運行在沙箱裡那麼再做進一步的行為也是白費功夫為了避免被繼續分析 所以惡意程式乾脆自殺退出運行這個手段常見於偵測自己是否在某些沙箱中運行

不然怎套用情境好像都不太合理。

陰謀論:其實都是網域公司的陰謀～～

感謝mayuyu大大的講解

感謝解說

感謝mayuyu詳盡講說

如果是用來做沙箱檢測 為何不用隨機生成長字串不是更好這樣也不會說現實真的被註冊後就無法執行了

對啊 應該是要隨機生成字串 譬如說隨機生成五個域名然後測試這五個隨機的域名 檢查是否都返回一樣的IP只是作者沒這樣寫 可能懶 反正最後終究是要被分析的寫這個只是拖延一下時間而已 不料被反利用了

看來下個變種就會是這個了

這樣子一般PC也弄個輸入任何域名 也會回ip的DNS不就好了?像是OpenDNS好像會這樣..

Host直接加就好了 不用到dns