„Vigilante Malware” blochează site-urile de piraterie software

“Vigilante Malware” bloqueia sites de pirataria de software

⌛ Reading Time: 4 minutes

Um novo malware não é algo que esperamos encontrar em malware. Ele não visa roubar seus dados ou ganhar dinheiro – parece impedir que computadores infectados visitem sites de pirataria de software. Chamado de “Malware Vigilante”, ele modifica o arquivo HOSTS do sistema infectado.

Identificando o Malware Vigilante

Pesquisador da SophosLabs, Andrew Brandt escreveu um artigo descrevendo como seu grupo identificou o Malware Vigilante e como ele funciona. Junto com a modificação do arquivo HOSTS, ele também baixa uma segunda parte: o executável ProcessHacker.

Um site pode ser bloqueado modificando o arquivo HOSTS. Ao contrário de outros malwares, o objetivo não é infectar o computador continuamente. Ele pode ser removido e não reinfectará, a menos que o programa seja executado novamente.

Os computadores infectados são impedidos de visitar sites de pirataria de software. O nome do software que o usuário procurava é enviado para outro site e uma segunda carga útil é entregue. Isso adiciona centenas de domínios da web ao arquivo HOSTS.

Alguns dos Malware Vigilante foram hospedados no serviço de bate-papo do jogo Discord. O Bittorrent interrompeu outras cópias que foram nomeadas como jogos populares e software de produtividade e segurança. Acredita-se que o malware tenha se originado em uma conta de compartilhamento de arquivos ThePirateBay.

Os arquivos hospedados no Discord parecem ser arquivos executáveis ​​únicos, enquanto os arquivos Bittorrent são empacotados com outros arquivos para se parecer com a forma como o software pirata é freqüentemente compartilhado.

Muitos dos executáveis ​​foram assinados digitalmente por um codificador falso. A assinatura “nome” é apenas uma string aleatória de 18 letras maiúsculas.

Vigilante Malware Executable

Brandt explicou: “As folhas de propriedades dos executáveis ​​do malware não se alinham com o que o nome do malware faz parecer. A maioria dos arquivos se representou como instaladores de cópias licenciadas de jogos ou software de produtividade com todos os recursos, mas muitos dos arquivos reais têm nomes completamente diferentes no campo Descrição do arquivo, como ‘AVG remediation exe,’ ‘BitLocker Drive Encryption , ‘ou’ Ferramenta de implantação do Microsoft Office Multi-Msi ActiveDirectory. ‘ “

O que o malware Vigilante faz

Quando o Malware Vigilante é clicado duas vezes, ele dispara uma mensagem de erro falsa que diz: “O programa não pode ser iniciado porque MSVCR100.dll está faltando no seu computador. Tente instalar o programa para corrigir o problema. ”

Brandt escreveu sobre sua experiência com o malware, “Usando o Process Monitor, fui capaz de determinar que ele nunca consulta a API do Windows para este arquivo. Para chamar a atenção do malware, coloquei uma cópia válida desta DLL mais antiga (que verifica) na pasta com o próprio programa, mas a caixa de diálogo falsa aparece de qualquer maneira. ”

Durante a execução, o malware verifica se pode fazer uma conexão de rede de saída. Ele tenta entrar em contato com um URI no domínio 1flchier-dot-com.

Vigilante Malware Websites Software

Os três arquivos incluídos com o instalador são inúteis e parecem ter sido incluídos apenas para dar a aparência de arquivos compartilhados pelo Bittorrent típicos. Um arquivo “data.dat” é uma imagem JPEG de uma floresta de pinheiros. Outro arquivo está em qualquer lugar entre 90kb e mais de 200kb e inclui principalmente “dados sem sentido com um nome de arquivo aleatório e o sufixo de arquivo .nfo”.

Os primeiros 1150 bytes do arquivo .nfo contêm dados inúteis. Um caractere não imprimível segue isso, tornando tudo depois disso invisível quando visualizado em um editor de texto. Este arquivo também contém um epíteto racial repetido 1000 vezes. Notavelmente, Brandt disse que só isso disse a ele tudo o que ele precisava saber sobre o criador do Malware Vigilante.

A melhor coisa sobre esse malware é, claro, se você não quer baixar um software pirata, não precisa se preocupar com nada.

Da mesma forma, continue lendo para aprender sobre malware que foi descoberto escondido em livros piratas. Além disso, leia nosso artigo sobre os perigos do uso de software pirata.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.