“Vigilante Kötü Amaçlı Yazılım” Yazılım Korsanlığı Sitelerini Engeller

« Vigilante Malware » bloque les sites de piratage de logiciels

⌛ Reading Time: 4 minutes

Un nouveau malware n’est pas quelque chose que nous nous attendons à trouver dans un malware. Il ne cherche pas à voler vos données ou à gagner de l’argent – il cherche à empêcher les ordinateurs infectés de visiter des sites de piratage de logiciels. Surnommé le « Vigilante Malware », il modifie le fichier HOSTS du système infecté.

Identification du malware Vigilante

Andrew Brandt, chercheur aux SophosLabs a écrit un article décrivant comment son groupe a identifié le Vigilante Malware et comment il fonctionne. En plus de modifier le fichier HOSTS, il télécharge également un deuxième élément : l’exécutable ProcessHacker.

Un site Web peut être bloqué en modifiant le fichier HOSTS. Contrairement à d’autres logiciels malveillants, l’objectif n’est pas d’infecter l’ordinateur de manière continue. Il peut être supprimé et ne sera pas réinfecté à moins que le programme ne soit réexécuté.

Les ordinateurs infectés sont empêchés de visiter les sites de piratage de logiciels. Le nom du logiciel recherché par l’utilisateur est envoyé à un autre site Web et une deuxième charge utile est livrée. Cela ajoute des centaines de domaines Web au fichier HOSTS.

Certains des logiciels malveillants Vigilante étaient hébergés sur le service de chat de jeu Discord. Bittorrent a perturbé d’autres copies qui ont été qualifiées de jeux populaires et de logiciels de productivité et de sécurité. On pense que le malware provient d’un compte de partage de fichiers ThePirateBay.

Les fichiers hébergés sur Discord semblent être des fichiers exécutables uniques, tandis que les fichiers Bittorrent sont emballés avec d’autres fichiers pour ressembler à la façon dont les logiciels piratés sont souvent partagés.

De nombreux exécutables ont été signés numériquement par un faux concepteur de code. La signature “nom” n’est qu’une chaîne aléatoire de 18 lettres majuscules.

Exécutable du logiciel malveillant Vigilante

Brandt a expliqué : « Les feuilles de propriétés des exécutables du malware ne correspondent pas à ce que le nom de fichier du malware fait apparaître. La plupart des fichiers se présentaient comme des programmes d’installation pour des copies sous licence complètes de jeux ou de logiciels de productivité, mais la plupart des fichiers réels ont des noms complètement différents dans le champ Description du fichier, tels que “AVG remediation exe”, “BitLocker Drive Encryption ,’ ou ‘Outil de déploiement Microsoft Office Multi-Msi ActiveDirectory.’ “

Ce que fait le malware Vigilante

Lorsque le Vigilante Malware est double-cliqué, il déclenche la publication d’un faux message d’erreur qui se lit comme suit : « Le programme ne peut pas démarrer car MSVCR100.dll est absent de votre ordinateur. Essayez d’installer le programme pour résoudre le problème.

Brandt a écrit à propos de son expérience avec le malware : « En utilisant Process Monitor, j’ai pu déterminer qu’il n’interroge même jamais l’API Windows pour ce fichier. Pour appeler le bluff du malware, j’ai déposé une copie valide de cette ancienne DLL (qui s’extrait) dans le dossier avec le programme lui-même, mais la fausse boîte de dialogue apparaît quand même.

Lors de l’exécution, le malware vérifie s’il peut établir une connexion réseau sortante. Il essaie de contacter un URI sur le domaine 1flchier-dot-com.

Logiciel de sites Web malveillants Vigilante

Les trois fichiers fournis avec le programme d’installation sont inutiles et semblent n’être inclus que pour donner l’apparence de fichiers typiques partagés par Bittorrent. Un fichier « data.dat » est une image JPEG d’une forêt de pins. Un autre fichier mesure entre 90 Ko et plus de 200 Ko et comprend principalement des « données de charabia avec un nom de fichier aléatoire et le suffixe de fichier .nfo ».

Les 1150 premiers octets du fichier .nfo contiennent des données parasites. Un caractère non imprimable suit cela, rendant tout ce qui suit non visible lorsqu’il est affiché dans un éditeur de texte. Ce fichier contient également une épithète raciale répétée 1000 fois. Notamment, Brandt a déclaré que cela lui disait tout ce qu’il avait besoin de savoir sur le créateur du logiciel malveillant Vigilante.

L’avantage de ce malware est, bien sûr, que si vous ne cherchez pas à télécharger des logiciels piratés, vous n’avez rien à craindre.

De même, lisez la suite pour en savoir plus sur les logiciels malveillants découverts cachés dans des manuels piratés. Lisez également notre article sur les dangers de l’utilisation de logiciels piratés.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.