„Vigilante Malware” blochează site-urile de piraterie software

„Vigilante Malware“ blockiert Softwarepiraterie-Sites

Eine neue Malware ist nichts, was wir in Malware erwarten. Es zielt nicht darauf ab, Ihre Daten zu stehlen oder Geld zu verdienen – es soll verhindern, dass infizierte Computer Websites von Softwarepiraterie besuchen. Als “Vigilante Malware” bezeichnet, modifiziert es die HOSTS-Datei des infizierten Systems.

Identifizieren der Vigilante-Malware

SophosLabs-Forscher Andrew Brandt einen Artikel geschrieben beschreibt, wie seine Gruppe die Vigilante-Malware identifizierte und wie sie funktioniert. Neben der Änderung der HOSTS-Datei wird auch ein zweites Stück heruntergeladen: die ausführbare ProcessHacker-Datei.

Eine Website kann durch Ändern der HOSTS-Datei blockiert werden. Im Gegensatz zu anderer Malware besteht das Ziel nicht darin, den Computer ständig zu infizieren. Es kann entfernt werden und wird nicht erneut infiziert, es sei denn, das Programm wird erneut ausgeführt.

Die infizierten Computer werden daran gehindert, Websites mit Softwarepiraterie zu besuchen. Der Name der Software, nach der der Benutzer gesucht hat, wird an eine andere Website gesendet und eine zweite Nutzlast wird geliefert. Dadurch werden der HOSTS-Datei Hunderte von Webdomänen hinzugefügt.

Ein Teil der Vigilante-Malware wurde im Chat-Dienst Discord gehostet. Bittorrent störte andere Kopien, die als beliebte Spiele und Produktivitäts- und Sicherheitssoftware bezeichnet wurden. Es wird angenommen, dass die Malware von einem ThePirateBay-Dateifreigabekonto stammt.

Die auf Discord gehosteten Dateien scheinen einzelne ausführbare Dateien zu sein, während die Bittorrent-Dateien mit anderen Dateien verpackt sind, um der häufigen Weitergabe von Raubkopien zu ähneln.

Viele der ausführbaren Dateien wurden von einem gefälschten Codesigner digital signiert. Die Signatur „Name“ ist nur eine zufällige Folge von 18 Großbuchstaben.

Ausführbare Datei für Vigilante-Malware

Brandt erklärte: „Die Eigenschaftenblätter der ausführbaren Malware-Dateien stimmen nicht mit dem Dateinamen der Malware überein. Die meisten Dateien stellten sich selbst als Installationsprogramme für voll funktionsfähige lizenzierte Kopien von Spielen oder Produktivitätssoftware dar, aber viele der tatsächlichen Dateien haben im Feld Dateibeschreibung völlig unterschiedliche Namen, wie z. B. „AVG-Remediation exe“, „BitLocker Drive Encryption“. ,“ oder „Microsoft Office Multi-Msi ActiveDirectory-Bereitstellungstool“. “

Was die Vigilante-Malware macht

Wenn die Vigilante Malware doppelt angeklickt wird, wird eine gefälschte Fehlermeldung ausgegeben, die lautet: „Das Programm kann nicht gestartet werden, weil MSVCR100.dll auf Ihrem Computer fehlt. Versuchen Sie, das Programm zu installieren, um das Problem zu beheben.“

Brandt schrieb über seine Erfahrungen mit der Malware: „Mit Process Monitor konnte ich feststellen, dass diese Datei nie die Windows-API abfragt. Um den Bluff der Malware zu benennen, habe ich eine gültige Kopie dieser älteren DLL (die auscheckt) in den Ordner mit dem Programm selbst gelegt, aber der gefälschte Dialog erscheint trotzdem.“

Bei der Ausführung überprüft die Malware, ob sie eine ausgehende Netzwerkverbindung herstellen kann. Es versucht, eine URI in der Domäne 1flchier-dot-com zu kontaktieren.

Vigilante Malware-Website-Software

Die drei mit dem Installationsprogramm gebündelten Dateien sind nutzlos und scheinen nur enthalten zu sein, um den Anschein von typischen Bittorrent-Shared-Dateien zu erwecken. Eine Datei „data.dat“ ist ein JPEG-Bild eines Kiefernwaldes. Eine andere Datei ist irgendwo zwischen 90 KB und mehr als 200 KB groß und enthält hauptsächlich „Kauderwelsch-Daten mit einem zufälligen Dateinamen und der Dateierweiterung .nfo“.

Die ersten 1150 Byte der .nfo-Datei enthalten Datenmüll. Daran schließt sich ein nicht druckbares Zeichen an, wodurch alles was danach in einem Texteditor angezeigt wird, nicht sichtbar ist. Diese Datei enthält auch einen 1000-mal wiederholten Rassennamen. Brandt sagte, dies allein habe ihm alles gesagt, was er über den Schöpfer der Vigilante-Malware wissen musste.

Das Tolle an dieser Malware ist natürlich, dass Sie sich keine Sorgen machen müssen, wenn Sie keine Raubkopien herunterladen möchten.

Lesen Sie in ähnlicher Weise weiter, um mehr über Malware zu erfahren, die in raubkopierten Lehrbüchern versteckt wurde. Lesen Sie auch unseren Artikel über die Gefahren der Verwendung von Raubkopien.