蠕虫病毒传播不久，一位国外的安全研究人员在病毒样本中发现了一串看上去很长，像是滚键盘随意打出来的域名：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  

此时他还并不知道这是什么，但他发现这个域名目前并没有被注册启用，出于好奇以及职业习惯，他花十几美金注册这个域名。

然后他立刻惊呆了 —— 该域名出现了成千上万的访问量，而且访问者来自全世界的各个地方……

▲陡增的域名访问请求数据

此时他并不理解这些流量到底从何而来，也还不知道自己做的事情，正影响着全球范围内组织了成千上万次的网络攻击。

随着对病毒代码的进一步分析，越来越多的安全研究机构注意到这样一个域名，他们发现这似乎是一个紧急开关。根据威胁情报平台微步在线提供的线索：

勒索样本启动后会首先请求如下域名：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  

请求失败后，才会执行加密；否则，则放弃进一步加密，并直接退出，我们将该域名称之为 “开关域名”。也就是说， 感染的机器如果能够成功连通秘密开关域名，反而不会被加密 ！

▲蠕虫病毒样本部分代码

有网络安全专家向雷锋网 (公众号：雷锋网) 透露，这可能是蠕虫病毒的作者留 “退路”，他希望自己的蠕虫最后能够得以控制，而不是一放出就任其传播，最后无法收场。这相当于一个开关，注册这个域名来实现控制，就能控制蠕虫病毒的传播。

然而勒索蠕虫病毒的作者始料未及，这个域名被安全人员发现，并抢先注册了。如今打开这个域名，出现了这样一段大意是 “魔高一尺道高一丈” 的文字：

一个随手注册域名的举动，竟然成功组织了一场全球网络攻击蠕虫的传播…… 真是万万没想到！

事后，这位小哥在自己的社交媒体上表示：

在我注册这个域名之前，完全不知道他能停止这次病毒的传播...  这发现完全意外...

但此时他的事迹已经被所有人知道，人们把他称之为 “意外英雄”。