就在昨天肆虐全台的 WannaCry 勒索病毒,被一名化名 MalwareTech 的資安研究人員發現,WannaCry 會透過一個未被註冊的網域名稱:iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 作為判斷是否擴散的依據,只要該網域不存在,病毒就會繼續擴散。因此這名研究人員把網域註冊起來,意外地阻止了 WannaCry 的擴散。
為何會有這個奇怪的機制?
根據 PTT 防毒版的網友 mayuyu 分析,這機制主要是讓病毒判斷自己是否在沙箱(SandBox)內運行,若病毒對外查詢一個不存在的域名,是否會得到 IP 位址,若得到 IP,代表自身很有可能存在在一個沙箱中,因此就停止運行。資安人員就是發現這點,把這個不存在的網域註冊起來,並因此誤導了病毒讓他停止繼續擴散。
WannaCry 之所以會犯下這個低級錯誤,有可能是在撰寫程式的時候懶、省時間,因此反被資安人員利用並阻止。但提醒各位,雖然短暫阻止了病毒的擴散,但已經受到感染的電腦並不會因此復原。
危機解除了嗎?
並沒有,卡巴斯基全球研究總監指出,修復這個漏洞的 WannaCry 2.0 病毒已經出現,因此資安人員用的方法僅短暫的阻止了幾小時的擴散,現在危機並沒有解除。
如何避免
如何避免 WannaCry 感染你的電腦,請參考此篇文章:新型勒索病毒WannaCry重創台灣!中毒了怎麼辦?如何預防?
延伸閱讀》