→ aa1477888: 不對喔 它的判斷方式是 網域不存在時繼續執行、傳播 05/14 00:33
→ aa1477888: 當今天網域存在了 程式走不下去了 自然就不執行 不傳播 05/14 00:34
→ aa1477888: 比如網域是牆壁 程式丟球到牆上 當牆壁存在 球彈回來 05/14 00:36
推 a3831038: 所以作者更改一下要確認的網域就又可以繼續感染沒更新的 05/14 00:36
→ a3831038: 電腦了,這則新聞一直報只會誤導民眾 05/14 00:36
→ aa1477888: 程式接到球與在虛擬機中沒有牆壁球不會彈回來不同 05/14 00:37
→ aa1477888: 程式就傻住了 故不會繼續執行 大概是這個意思 05/14 00:37
推 rand: 不過他為什麼要設這個機制阿 讓他一直傳就好啦 05/14 00:38
推 a3831038: 應該是要避開一些認證啟動的簽證 05/14 00:39
不好意思...我看不懂....你說的網域 是我理解的AD那個網域嗎?
新聞裡寫的是virtual machine(VM)為什麼你是在講網域.....
※ 編輯: andrew954 (1.160.37.67), 05/14/2017 00:41:45
推 aa1477888: 有一說是避開防毒軟體的沙盒機制 05/14 00:41
→ ofy: 這隻病毒跟疾風一樣,中獎者會幫忙傳播,所以加上煞車鎖(網域) 05/14 00:46
→ ofy: 換新變種的時候,才可以把舊版本的傳播功能鎖住 05/14 00:47
→ rand: 所以是作者在測試時怕中獎加的? 05/14 00:47
→ rand: 不過測不是都在虛擬機裡側嗎 05/14 00:47
→ rand: 為什麼換新變種要把舊的鎖住啊 05/14 00:49
→ trywish: 其實這個機制一直覺得怪怪的,抓到=停止,但是本來就沒有 05/14 00:50
→ mayuyu: 有些分析病毒的虛擬環境/虛擬機/沙箱 05/14 00:50
→ mayuyu: 會攔截連外的域名解析然後一律回報沙箱自身的IP 05/14 00:50
→ trywish: 註冊,所以一直都不會停止。除非是作者故意留下的後門, 05/14 00:50
→ mayuyu: 所以當查詢一個不存在的域名時竟然可以得到IP位址 05/14 00:51
→ mayuyu: 有很大的可能程式本身正運行在一個沙箱裡 05/14 00:51
→ mayuyu: 既然是運行在沙箱裡那麼再做進一步的行為也是白費功夫 05/14 00:51
→ mayuyu: 為了避免被繼續分析 所以惡意程式乾脆自殺退出運行 05/14 00:51
→ mayuyu: 這個手段常見於偵測自己是否在某些沙箱中運行 05/14 00:51
→ trywish: 不然怎套用情境好像都不太合理。 05/14 00:51
推 andy199113: 陰謀論:其實都是網域公司的陰謀~~ 05/14 00:52
推 rand: 感謝mayuyu大大的講解 05/14 00:54
推 martian001: 感謝解說 05/14 00:55
推 aa1477888: 感謝mayuyu詳盡講說 05/14 00:58
推 bitcch: 如果是用來做沙箱檢測 為何不用隨機生成長字串不是更好 05/14 01:46
→ bitcch: 這樣也不會說現實真的被註冊後就無法執行了 05/14 01:47
→ mayuyu: 對啊 應該是要隨機生成字串 譬如說隨機生成五個域名 05/14 01:51
→ mayuyu: 然後測試這五個隨機的域名 檢查是否都返回一樣的IP 05/14 01:52
→ mayuyu: 只是作者沒這樣寫 可能懶 反正最後終究是要被分析的 05/14 01:52
→ mayuyu: 寫這個只是拖延一下時間而已 不料被反利用了 05/14 01:52
→ gowaa: 看來下個變種就會是這個了 05/14 01:57
推 lht2: 這樣子一般PC也弄個輸入任何域名 也會回ip的DNS不就好了? 05/14 08:31
→ lht2: 像是OpenDNS好像會這樣.. 05/14 08:32
→ ChungLi5566: Host直接加就好了 不用到dns 05/14 09:30