22岁阻止席卷网络的病毒,却因开发恶意软件被捕(13)
2024-09-26 来源:飞速影视
而且情况似乎还将继续恶化。
那个星期五下午 2:30 左右,买完午餐的马库斯·哈钦斯坐回电脑前才看到这场互联网大灾难。
几分钟后,一个代号 Kafeine 的黑客朋友给哈钦斯发送了 WannaCry 的代码副本。来不及吃午餐,哈钦斯就开始剖析这些代码。
首先,他在隔离的虚拟机中运行了这个程序。然后很快他就注意到其在执行加密时会向一个看起来随机生成的网址发送一条查询信息:iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。
很显然,这个病毒采用了「命令-控制」模式,即某个地方的服务器能给被感染的计算机发送控制指令。哈钦斯将这个网址放到浏览器中,却发现根本没有网站。
因此他访问了域名注册商 Namecheap,在下午 3:08 用 10.69 美元注册了这个地址。哈钦斯希望此举能让他从 WannaCry 创造者那里夺回部分受害计算机的控制权。或者他至少可通过 sinkholing(沉洞)技术获知受害计算机的数量和位置。
当哈钦斯将这个域名定向到 Kryptos Logic 的一组服务器上后,就立马收到了全世界数千台新被感染的计算机的连接。哈钦斯在 Twitter 上通报了这一信息,引起了世界各地的研究者、记者和系统管理者的关注。
下午 6:30,哈钦斯的黑客朋友 Kafeine 分享了一条推文给他。这条让哈钦斯感到惊讶的推文来自安全研究者 Darien Huss:「攻击失败,因为该域名已沉洞。」
换句话说,由于哈钦斯的域名首先上线,因此 WannaCry 感染虽然还会继续,但并不会真正造成任何新的危害。这个蠕虫病毒似乎就这样失去功能了。
Huss 的推文中包含一段他反向工程得到的 WannaCry 代码。该代码的逻辑是在加密文件之间,首先检查能否连接到哈钦斯的网络地址。如果不能,就加密该计算机的内容。如果能够连接,就停止工作。(恶意软件分析师至今仍不明确 WannaCry 的创造者为什么要设置这一功能。)
哈钦斯并未找到这个恶意软件的「命令-控制」地址,而是找到了它的死亡开关。这在哈钦斯的原本意料之外。
在他理解发生了什么之后,他从椅子上跳了起来,在卧室里开心地跳来跳去。然后他做了一件非同寻常的事:他上楼把这件事告诉了自己的家人。
他做护士工作的母亲今天刚好休假,刚和朋友聚会回来准备开始做晚餐,因此还不真正知道这场危机。这时候她的儿子上楼来,用不确定的语气告诉她,他似乎已经阻止了世界上有史以来最严重的恶意软件攻击。
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号