好像病毒被控制住了

那么多内部网络怎么办？

@jininij 这个套路有点深啊。病毒作者预期这个病毒会被破解，并且破解之后安全人员还真会去注册这个域名 & 启用。（言外之意，要是安全人员没灵光一闪，去注册这个域名，那还是不满足病毒作者的控制条件吧。）

@peesefoo
@loopio

原文“注册成功后，一瞬之间，他发现...”

域名注册完了，dns 解析到全球路由生效，一般是 6-24 个小时才行吧。这域名瞬间就能生效？！这是那家 dns 服务商这么强呀，感觉也是个段子。。。

@xyjtou 一个三个月前已经修复的 bug，一个只要关闭几个端口就能阻止的病毒。我总觉得能传播这么广，作者都很难预料到。如果只是影响到几百个几千个用户，这种防侦查手段确实是十分有用的。
另外，当初漏洞刚爆出来的时候，就有了这个病毒。是之前的病毒彻底爆发，还是出现了新的病毒变种？无论是那种情况，作者都很难预料到事情的严重性吧。

他发现病毒通过 smb 漏洞传染。并从源代码中找到了这个域名，顺手注册了。然后将样本发送给别人，发现别人无法复现传染过程，才意识到这是个开关。

不过这要是个将勒索病毒转化为破坏病毒的开关，那乐子就大了。

@xyjtou 解析为什么要 6 个小时生效？一般情况下，首次解析两分钟就能生效了吧。变更解析，因为缓存的缘故，确实最长需要 6-24 个小时。注意是最长。一般一两个 ttl 时间也就够了。

只是暂时性的中断了，黑客还可以更改。未感染的要抓紧时间打补丁，微软对 XP 和 2003 也发布了紧急公告和安全补丁。

这个作者水平不行啊，开关会被别人控制，应该让病毒检查自己的域名的一条 TXT 记录，然后来执行具体的命令，这样才是可控的。

在思考个问题，如果真的用自己域名，那不是顺藤摸瓜被一锅端？

@jininij 哦，可能我从来没有用过域名服务商的 dns，买了域名立即改 dns server，导致从没感受过 2 分钟就能生效的速度 ^-^

被墙了就在 hosts 里做文章吧，还可避免掉包

这种情况某墙就应该发挥作用把这域名劫持到一个连通率高的 ip

@jininij 没错啊 感觉还是病毒作者魔高一丈了啊 故意没去注册这个在一般情况下很难被注册掉的奇葩域名 这哪是开关 就是个警铃啊 作者自己一查这个域名注册没注册就知道反这个病毒的进展到什么地步了 而且这下不再传染的话 反毒人员在未染毒的机子上抓感染过程中的通信包就更困难了

@jininij MalewareTech 的博客里写到了这些，和你的想法一致：“ I believe they were trying to query an intentionally unregistered domain which would appear registered in certain sandbox environments, then once they see the domain responding, they know they ’ re in a sandbox the malware exits to prevent further analysis.”

另外，这个作者还提到，他之前见过类似的方式。不过举出的例子是测试随机生成的 5 个域名。对比起来，wannacry 的反侦查手段很粗糙（假设这个是反侦查的检测）。

@loopio 看 MalewareTech 的文章的话，@jininij 的评论是正解。

自己加 host 是不是也可以预防病毒运行呢？。。

传播途径还是要关闭 445 吧。。

@xyjtou 长微博肯定不是搞技术的人写的。MalwareTech blog 里提到他们注册完域名，等着生效的时候还在自己 sandbox 里面观察病毒加密之后的传播方式。

“ While the domain was propagating, I ran the sample again in my virtual environment to be met with WannaCrypt ransom page; but more interestingly was that after encrypting the fake files I left there as a test, it started connecting out to random IP addresses on port 445 (used by SMB).”

@sunulin 可以预防。不光可以预防病毒，还可以用 host 文件让域名解析失效（然后触发加密）。