“Vigilante Kötü Amaçlı Yazılım” Yazılım Korsanlığı Sitelerini Engeller

“Vigilante Kötü Amaçlı Yazılım” Yazılım Korsanlığı Sitelerini Engeller

⌛ Reading Time: 3 minutes

Yeni bir kötü amaçlı yazılım, kötü amaçlı yazılımda bulmayı umduğumuz bir şey değildir. Verilerinizi çalmak veya para kazanmak gibi görünmüyor – virüslü bilgisayarların yazılım korsanlığı sitelerini ziyaret etmesini engelliyor gibi görünüyor. “Vigilante Malware” olarak adlandırılan bu, virüslü sistemin HOSTS dosyasını değiştirir.

Vigilante Kötü Amaçlı Yazılımı Tanımlama

SophosLabs araştırmacısı Andrew Brandt bir makale yazdı grubunun Vigilante Kötü Amaçlı Yazılımı nasıl tanımladığını ve nasıl çalıştığını açıklıyor. HOSTS dosyasını değiştirmenin yanı sıra ikinci bir parçayı da indirir: ProcessHacker yürütülebilir.

HOSTS dosyası değiştirilerek bir web sitesi engellenebilir. Diğer kötü amaçlı yazılımlardan farklı olarak amaç, bilgisayara sürekli olarak bulaşmak değildir. Kaldırılabilir ve program yeniden çalıştırılmadıkça yeniden bulaşmaz.

Virüs bulaşan bilgisayarların yazılım korsanlığı sitelerini ziyaret etmesi engellenir. Kullanıcının peşinde olduğu yazılımın adı başka bir web sitesine gönderilir ve ikinci bir payload teslim edilir. Bu, HOSTS dosyasına yüzlerce web etki alanı ekler.

Vigilante Kötü Amaçlı Yazılımlardan bazıları Discord oyun sohbet hizmetinde barındırıldı. Bittorrent, popüler oyunlar ve üretkenlik ve güvenlik yazılımı olarak adlandırılan diğer kopyaları bozdu. Kötü amaçlı yazılımın bir ThePirateBay dosya paylaşım hesabından kaynaklandığına inanılıyor.

Discord’da barındırılan dosyalar tek yürütülebilir dosyalar gibi görünürken, Bittorrent dosyaları korsan yazılımların sıklıkla paylaşılmasına benzemek için diğer dosyalarla birlikte paketlenir.

Yürütülebilir dosyaların çoğu, sahte bir tasarımcı tarafından dijital olarak imzalandı. “Ad” imzası, yalnızca 18 büyük harften oluşan rastgele bir dizedir.

Vigilante Kötü Amaçlı Yazılım Yürütülebilir

Brandt, “Kötü amaçlı yazılımın yürütülebilir dosyalarının özellik sayfaları, kötü amaçlı yazılımın dosya adının göründüğü şeyle uyumlu değil. Dosyaların çoğu kendilerini oyunların veya üretkenlik yazılımının tam özellikli, lisanslı kopyaları için yükleyiciler olarak temsil ediyordu, ancak gerçek dosyaların birçoğunun Dosya Açıklaması alanında ‘AVG düzeltme exe’, ‘BitLocker Drive Encryption gibi tamamen farklı adları var. ‘ veya ‘Microsoft Office Multi-Msi ActiveDirectory Dağıtım Aracı.’ “

Vigilante Kötü Amaçlı Yazılım Ne Yapar?

Vigilante Malware çift tıklatıldığında, “MSVCR100.dll bilgisayarınızda eksik olduğundan program başlatılamıyor. Sorunu çözmek için programı yüklemeyi deneyin.”

Brandt, kötü amaçlı yazılımla ilgili deneyimini şöyle yazdı: “İşlem İzleyicisi’ni kullanarak, bu dosya için Windows API’sini hiç sorgulamadığını bile belirleyebildim. Kötü amaçlı yazılımın blöfünü aramak için, bu eski DLL dosyasının (teslim alan) geçerli bir kopyasını programın bulunduğu klasöre bıraktım, ancak yine de sahte iletişim kutusu görünüyor.”

Yürütüldükten sonra kötü amaçlı yazılım, giden bir ağ bağlantısı kurup kuramayacağını kontrol eder. 1flchier-dot-com etki alanındaki bir URI ile iletişim kurmaya çalışır.

Vigilante Kötü Amaçlı Yazılım Web Siteleri Yazılımı

Yükleyiciyle birlikte gelen üç dosya işe yaramaz ve yalnızca tipik Bittorrent paylaşılan dosyaların görünümünü vermek için dahil edilmiş görünüyor. Bir “data.dat” dosyası, bir çam ormanının JPEG görüntüsüdür. Başka bir dosya 90 kb ile 200 kb arasında herhangi bir yerdedir ve çoğunlukla “rastgele bir dosya adına ve .nfo dosya son ekine sahip anlamsız veriler” içerir.

.nfo dosyasının ilk 1150 baytı çöp verileri içerir. Yazdırılamayan bir karakter bunu takip eder ve bundan sonraki her şeyi bir metin düzenleyicide görüntülendiğinde görünmez hale getirir. Bu dosya aynı zamanda 1000 kez tekrarlanan bir ırksal sıfat içerir. Özellikle Brandt, bunun tek başına kendisine Vigilante Kötü Amaçlı Yazılımın yaratıcısı hakkında bilmesi gereken her şeyi söylediğini söyledi.

Bu kötü amaçlı yazılımla ilgili en iyi şey, elbette, korsan yazılım indirmeyi düşünmüyorsanız, endişelenecek bir şeyiniz yok.

Benzer şekilde, korsan ders kitaplarında saklandığı keşfedilen kötü amaçlı yazılımlar hakkında bilgi edinmek için okumaya devam edin. Ayrıca korsan yazılım kullanmanın tehlikeleri hakkındaki makalemizi de okuyun.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.