“Malware Watcher” חוסם אתרי פיראטיות תוכנה

„Vigilante Malware” blochează site-urile de piraterie software
⏱️ 1 min read

תוכנות זדוניות חדשות אינן משהו שאנו מצפים למצוא בתוכנות זדוניות. זה לא נועד לגנוב את הנתונים שלך או להרוויח כסף – נראה שהוא מונע ממחשבים נגועים לבקר באתרי פיראטיות תוכנה. הוא נקרא “Malware Watcher”, והוא משנה את קובץ ה-HOTSS של המערכת הנגועה.

יער אילנות (הארבורט...
יער אילנות (הארבורטום הלאומי)

זיהוי תוכנה זדונית ערנית

חוקר SophosLabs, אנדרו ברנדט כתב מאמר מתאר כיצד הקבוצה שלו זיהתה Malware Vigilante וכיצד היא פועלת. יחד עם שינוי קובץ HOSTS, הוא מוריד גם חלק שני: קובץ ההפעלה ProcessHacker.

ניתן לחסום אתר על ידי שינוי קובץ HOSTS. שלא כמו תוכנות זדוניות אחרות, המטרה היא לא להדביק את המחשב שלך ברציפות. ניתן להסיר אותו ולא ידבק מחדש אלא אם התוכנית תופעל שוב.

“Malware Watcher” חוסם אתרי פיראטיות תוכנה

מחשבים נגועים חסומים מלבקר באתרי פיראטיות תוכנה. שם התוכנה שהמשתמש חיפש נשלח לאתר אחר ומטען שני נמסר. זה מוסיף מאות דומיינים באינטרנט לקובץ HOSTS.

חלק מה-Malware Vigilante התארחו בשירות הצ’אט של Discord במשחק. ביטורנט עצרה עותקים אחרים שכונו כמשחקים פופולריים ותוכנת פרודוקטיביות ואבטחה. ככל הנראה, התוכנה הזדונית מקורה מחשבון שיתוף קבצים של ThePirateBay.

נראה כי קבצים המתארחים ב-Discord הם קבצי הפעלה בודדים, בעוד שקבצי Bittorrent מצורפים עם קבצים אחרים כדי להידמות לאופן שבו תוכנות פיראטיות שותפות לעתים קרובות.

רבים מקובצי ההפעלה נחתמו דיגיטלית על ידי מקודד מזויף. החתימה “שם” היא רק מחרוזת אקראית של 18 אותיות רישיות.

Watcher Malware ניתן להפעלה

ברנדט הסביר: “גליונות המאפיינים של קובצי ההפעלה של התוכנה הזדונית אינם תואמים איך השם של התוכנה הזדונית גורם לה להיראות. רוב הקבצים ייצגו את עצמם כמתקינים של עותקים מורשים של משחקים או תוכנות פרודוקטיביות מלאות, אבל לרבים מהקבצים בפועל יש שמות שונים לחלוטין בשדה תיאור הקובץ, כגון ‘AVG remediation exe’, ‘BitLocker Drive Encryption ,’ או’ Microsoft Office Multi-Msi ActiveDirectory כלי פריסה. ‘”

מה התוכנה הזדונית של Vigilante עושה

כאשר לוחצים פעמיים על Malware Watcher, הוא מפעיל הודעת שגיאה מזויפת שקוראת: “התוכנית לא יכולה להפעיל כי MSVCR100.dll חסר במחשב שלך. נסה להתקין את התוכנית כדי לפתור את הבעיה. ”

ברנדט כתב על הניסיון שלו עם התוכנה הזדונית, “באמצעות Process Monitor, הצלחתי לקבוע שהוא אף פעם לא מבצע שאילתות ב-API של Windows עבור הקובץ הזה. כדי למשוך את תשומת הלב של התוכנה הזדונית, שמתי עותק תקף של ה-DLL הישן הזה (אשר בודק) בתיקייה עם התוכנית עצמה, אבל תיבת הדו-שיח המזוייפת צצה בכל זאת. ”

בזמן הריצה, התוכנה הזדונית בודקת אם היא יכולה ליצור חיבור רשת יוצא. הוא מנסה ליצור קשר עם URI בדומיין 1flchier-dot-com.

תוכנת Malware Vigilante אתרי אינטרנט

שלושת הקבצים הכלולים בתוכנית ההתקנה חסרי תועלת ונראה כאילו נכללו רק כדי לתת מראה של קבצים משותפים טיפוסיים של Bittorrent. קובץ “data.dat” הוא תמונת JPEG של יער אורנים. קובץ אחר הוא בכל מקום בין 90kb למעל 200kb וכולל בעיקר “נתוני שטות עם שם קובץ אקראי וסיומת קובץ nfo”.

1150 הבתים הראשונים של קובץ ה-.nfo מכילים נתונים חסרי תועלת. תו שלא ניתן להדפסה עוקב אחרי זה, מה שהופך את כל מה שאחרי זה לבלתי נראה בעת צפייה בעורך טקסט. קובץ זה מכיל גם כינוי גזעי שחוזר על עצמו 1000 פעמים. יש לציין כי ברנדט אמר שזה לבדו אמר לו את כל מה שהוא צריך לדעת על היוצר של Malware Vigilante.

הדבר הטוב ביותר בתוכנה זדונית זו הוא, כמובן, אם אינך רוצה להוריד תוכנה פיראטית, אינך צריך לדאוג לכלום.

כמו כן, המשך לקרוא כדי ללמוד על תוכנות זדוניות שהתגלו מסתתרות בספרים פיראטיים. כמו כן, קרא את המאמר שלנו על הסכנות בשימוש בתוכנה פיראטית.

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

You may also like...

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x