„Vigilante Malware” blochează site-urile de piraterie software

“Vigilante Malware” blocca i siti di pirateria software

Un nuovo malware non è qualcosa che ci aspettiamo di trovare nel malware. Non cerca di rubare i tuoi dati o fare soldi: cerca di impedire ai computer infetti di visitare siti di pirateria software. Soprannominato “Vigilante Malware”, modifica il file HOSTS del sistema infetto.

Identificazione del malware Vigilante

Il ricercatore dei SophosLabs Andrew Brandt ha scritto un articolo descrivendo come il suo gruppo ha identificato il Vigilante Malware e come funziona. Oltre a modificare il file HOSTS, scarica anche un secondo pezzo: l’eseguibile di ProcessHacker.

Un sito web può essere bloccato modificando il file HOSTS. A differenza di altri malware, l’obiettivo non è infettare il computer in modo continuativo. Può essere rimosso e non si reinfetterà a meno che il programma non venga eseguito nuovamente.

Ai computer infetti viene impedito di visitare siti di pirateria informatica. Il nome del software che l’utente cercava viene inviato a un altro sito Web e viene consegnato un secondo payload. Questo aggiunge centinaia di domini web al file HOSTS.

Alcuni dei malware Vigilante sono stati ospitati sul servizio di chat di gioco Discord. Bittorrent ha interrotto altre copie che sono state chiamate giochi popolari e software di produttività e sicurezza. Si ritiene che il malware abbia avuto origine su un account di condivisione file ThePirateBay.

I file ospitati su Discord sembrano essere singoli file eseguibili, mentre i file Bittorrent sono impacchettati con altri file per assomigliare a come spesso viene condiviso il software piratato.

Molti degli eseguibili sono stati firmati digitalmente da un falso codesigner. Il “nome” della firma è solo una stringa casuale di 18 lettere maiuscole.

Vigilante Malware eseguibile

Brandt ha spiegato: “I fogli delle proprietà degli eseguibili del malware non si allineano con ciò che fa sembrare il nome del file del malware. La maggior parte dei file si sono presentati come programmi di installazione per copie complete e con licenza di giochi o software di produttività, ma molti dei file effettivi hanno nomi completamente diversi nel campo Descrizione file, come “AVG remediation exe”, “BitLocker Drive Encryption ,’ o ‘Strumento di distribuzione ActiveDirectory multi-Msi di Microsoft Office.’ “

Cosa fa il malware Vigilante

Quando si fa doppio clic su Vigilante Malware, si attiva il rilascio di un falso messaggio di errore che recita: “Il programma non può essere avviato perché MSVCR100.dll non è presente nel computer. Prova a installare il programma per risolvere il problema.”

Brandt ha scritto della sua esperienza con il malware: “Utilizzando Process Monitor, sono stato in grado di determinare che non esegue nemmeno query sull’API di Windows per questo file. Per chiamare il bluff del malware, ho inserito una copia valida di questa DLL precedente (che esegue il check-out) nella cartella con il programma stesso, ma viene visualizzata comunque la finestra di dialogo fasulla.

Al momento dell’esecuzione, il malware verifica se è in grado di stabilire una connessione di rete in uscita. Prova a contattare un URI sul dominio 1flchier-dot-com.

Software per siti Web di malware Vigilante

I tre file in bundle con il programma di installazione sono inutili e sembrano essere inclusi solo per dare l’aspetto dei tipici file condivisi da Bittorrent. Un file “data.dat” è un’immagine JPEG di una pineta. Un altro file è compreso tra 90 kb e più di 200 kb e include principalmente “dati incomprensibili con un nome file casuale e il suffisso del file .nfo”.

I primi 1150 byte del file .nfo contengono dati inutili. Segue un carattere non stampabile, che rende tutto ciò che segue non è visibile quando viene visualizzato in un editor di testo. Questo file contiene anche un epiteto razziale ripetuto 1000 volte. In particolare, Brandt ha detto che questo da solo gli ha detto tutto ciò che aveva bisogno di sapere sul creatore del Vigilante Malware.

La cosa grandiosa di questo malware è, ovviamente, che se non cerchi di scaricare software piratato, non hai nulla di cui preoccuparti.

Allo stesso modo, continua a leggere per conoscere il malware che è stato scoperto nascosto all’interno di libri di testo piratati. Inoltre, leggi il nostro articolo sui pericoli dell’utilizzo di software piratato.