domain name registration must have been done on the system of researcher
No. Il dominio è stato effettivamente registrato ed è disponibile per tutti:
~$ whois iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Domain Name: IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
Registry Domain ID: 2123519849_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2017-06-22T16:05:38Z
Creation Date: 2017-05-12T15:08:04Z
Registry Expiry Date: 2023-05-12T15:08:04Z
Il malware proverà a connettersi a questo dominio. Se ha successo, si interromperà, altrimenti continuerà.
Il ricercatore che ha registrato il dominio lo spiega qui .
Nella sua ricerca, ha inserito per la prima volta il dominio nel suo file host e, dopo aver visto che ha bloccato il malware sul suo sistema locale, ha registrato il dominio, impedendo così a questa specifica versione del malware di fare del male a qualsiasi sistema che potrebbe connettersi al dominio (questo in realtà è stato più un incidente, il ricercatore originariamente voleva raccogliere ulteriori informazioni sul malware).
Il ricercatore indovina anche ciò che gli autori di malware hanno voluto ottenere con questo "kill switch":
In certain sandbox environments traffic is intercepted by replying to all URL lookups with an IP address belonging to the sandbox rather than the real IP address the URL points to, a side effect of this is if an unregistered domain is queried it will respond as it it were registered (which should never happen).
I believe they were trying to query an intentionally unregistered domain which would appear registered in certain sandbox environments, then once they see the domain responding, they know they’re in a sandbox the malware exits to prevent further analysis.