“Vigilante Malware” bloqueia sites de pirataria de software

Vigilante Malware Featured
⏱️ 4 min read

Um novo malware não é algo que esperamos encontrar em malware. Ele não procura roubar seus dados ou ganhar dinheiro – ele procura impedir que computadores infectados visitem sites de pirataria de software. Apelidado de “Vigilante Malware”, ele modifica o arquivo HOSTS do sistema infectado.

Identificando o malware Vigilante

O pesquisador da SophosLabs, Andrew Brandt escreveu um artigo descrevendo como seu grupo identificou o malware Vigilante e como ele funciona. Além de modificar o arquivo HOSTS, ele também baixa uma segunda parte: o executável ProcessHacker.

Um site pode ser bloqueado modificando o arquivo HOSTS. Ao contrário de outros malwares, o objetivo não é infectar o computador continuamente. Ele pode ser removido e não será reinfectado a menos que o programa seja executado novamente.

Software pirata Vigilante Malware
“Vigilante Malware” bloqueia sites de pirataria de software

Os computadores infectados são impedidos de visitar sites de pirataria de software. O nome do software que o usuário procurava é enviado para outro site e uma segunda carga útil é entregue. Isso adiciona centenas de domínios da Web ao arquivo HOSTS.

Parte do malware Vigilante foi hospedado no serviço de bate-papo do jogo Discord. O Bittorrent interrompeu outras cópias que foram nomeadas como jogos populares e software de produtividade e segurança. Acredita-se que o malware tenha se originado em uma conta de compartilhamento de arquivos do ThePirateBay.

Os arquivos hospedados no Discord parecem ser arquivos executáveis ​​únicos, enquanto os arquivos Bittorrent são empacotados com outros arquivos para se assemelhar a como o software pirata é frequentemente compartilhado.

Muitos dos executáveis ​​foram assinados digitalmente por um codesigner falso. A assinatura “nome” é apenas uma sequência aleatória de 18 letras maiúsculas.

Executável de malware Vigilante

Brandt explicou: “As folhas de propriedades dos executáveis ​​do malware não se alinham com o que o nome do arquivo do malware faz parecer. A maioria dos arquivos se apresentava como instaladores de cópias licenciadas de jogos ou software de produtividade com todos os recursos, mas muitos dos arquivos reais têm nomes completamente diferentes no campo Descrição do arquivo, como ‘exe de correção do AVG’, ‘BitLocker Drive Encryption’ ‘ ou ‘Ferramenta de implantação do ActiveDirectory Multi-Msi do Microsoft Office’. “

O que o malware Vigilante faz

Quando o Vigilante Malware é clicado duas vezes, ele aciona o lançamento de uma falsa mensagem de erro que diz: “O programa não pode ser iniciado porque MSVCR100.dll está faltando no seu computador. Tente instalar o programa para corrigir o problema.”

Brandt escreveu sobre sua experiência com o malware: “Usando o Process Monitor, consegui determinar que ele nunca consulta a API do Windows para esse arquivo. Para chamar o blefe do malware, coloquei uma cópia válida desta DLL mais antiga (que faz check-out) na pasta com o próprio programa, mas a caixa de diálogo falsa aparece de qualquer maneira.”

Após a execução, o malware verifica se pode fazer uma conexão de rede de saída. Ele tenta contatar um URI no domínio 1flchier-dot-com.

Software de sites de malware Vigilante

Os três arquivos empacotados com o instalador são inúteis e parecem ser incluídos apenas para dar a aparência de arquivos compartilhados por Bittorrent típicos. Um arquivo “data.dat” é uma imagem JPEG de uma floresta de pinheiros. Outro arquivo está em qualquer lugar entre 90kb e mais de 200kb e inclui principalmente “dados sem sentido com um nome de arquivo aleatório e o sufixo de arquivo .nfo”.

Os primeiros 1150 bytes do arquivo .nfo contêm dados inúteis. Um caractere não imprimível segue isso, tornando tudo depois disso não visível quando visualizado em um editor de texto. Este arquivo também contém um epíteto racial repetido 1000 vezes. Notavelmente, Brandt disse que isso por si só lhe disse tudo o que ele precisava saber sobre o criador do Vigilante Malware.

O melhor desse malware é que, é claro, se você não fizer o download de software pirata, não terá com o que se preocupar.

Da mesma forma, continue lendo para saber mais sobre malware que foi descoberto escondido em livros didáticos piratas. Além disso, leia nosso artigo sobre os perigos de usar software pirata.

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar of Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Você pode gostar...

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x