„Vigilante Malware” blochează site-urile de piraterie software

„Vigilante Malware” blochează site-urile de piraterie software

⌛ Reading Time: 4 minutes

Un nou malware nu este ceva ce ne așteptăm să găsim în malware. Nu pare să vă fure datele sau să câștige bani – pare să împiedice computerele infectate să viziteze site-uri de piraterie software. Denumit „Vigilante Malware”, acesta modifică fișierul HOSTS al sistemului infectat.

Identificarea malware-ului Vigilante

Cercetătorul SophosLabs, Andrew Brandt a scris un articol descriind modul în care grupul său a identificat malware-ul Vigilante și cum funcționează. Împreună cu modificarea fișierului HOSTS, descarcă și o a doua piesă: executabilul ProcessHacker.

Un site web poate fi blocat modificând fișierul HOSTS. Spre deosebire de alte programe malware, obiectivul nu este de a infecta computerul în mod continuu. Poate fi eliminat și nu se va reinfecta decât dacă programul este rulat din nou.

„Vigilante Malware” blochează site-urile de piraterie software

Computerele infectate sunt împiedicate să viziteze site-uri de piraterie software. Numele software-ului după care a fost trimis utilizatorul este trimis la un alt site web și este livrat un al doilea volum de încărcare. Aceasta adaugă sute de domenii web la fișierul HOSTS.

Unele dintre programele malware Vigilante au fost găzduite pe serviciul de chat al jocului Discord. Bittorrent a întrerupt alte copii care au fost numite jocuri populare și software de productivitate și securitate. Se crede că malware-ul a apărut într-un cont de partajare a fișierelor ThePirateBay.

Fișierele găzduite pe Discord par a fi fișiere executabile unice, în timp ce fișierele Bittorrent sunt împachetate cu alte fișiere pentru a semăna cu modul în care software-ul piratat este adesea partajat.

Multe dintre executabile au fost semnate digital de un fals semn de cod. Semnătura „nume” este doar un șir aleatoriu de 18 litere mari.

Vigilante Malware Executable

Brandt a explicat: „Fișele de proprietăți ale programelor executabile de malware nu se aliniază cu ceea ce numele fișierului malware-ului îl face să pară. Majoritatea fișierelor s-au reprezentat ca instalatori pentru copii complet licențiate, licențiate de jocuri sau software de productivitate, dar multe dintre fișierele reale au nume complet diferite în câmpul Descriere fișier, cum ar fi „AVG remediation exe”, „BitLocker Drive Encryption” , sau „Instrument de implementare ActiveDirectory pentru Microsoft Office Multi-Msi”. „

Ce face programul malware Vigilante

Când se face dublu clic pe Vigilante Malware, acesta declanșează lansarea unui mesaj de eroare fals care spune: „Programul nu poate porni deoarece MSVCR100.dll lipsește de pe computer. Încercați să instalați programul pentru a remedia problema. ”

Brandt a scris despre experiența sa cu malware-ul: „Folosind Monitorul procesului, am putut stabili că nici măcar nu interogă niciodată API-ul Windows pentru acest fișier. Pentru a apela bluff-ul malware-ului, am scăpat o copie validă a acestei DLL mai vechi (care se verifică) în folderul cu programul în sine, dar dialogul fals apare oricum. ”

La executare, malware-ul verifică dacă poate realiza o conexiune de rețea de ieșire. Încearcă să contacteze un URI pe domeniul 1flchier-dot-com.

Software-ul Vigilante pentru site-uri malware

Cele trei fișiere incluse în programul de instalare sunt inutile și par a fi incluse doar pentru a da aspectul fișierelor tipice partajate Bittorrent. Un fișier „data.dat” este o imagine JPEG a unei păduri de pini. Un alt fișier este între 90kb și mai mult de 200kb și include în cea mai mare parte „date gibberish cu un nume de fișier randomizat și sufixul fișierului .nfo”.

Primii 1150 de octeți ai fișierului .nfo conțin date despre gunoi. Un caracter neprimabil urmează acest lucru, ceea ce face ca totul după aceea să nu fie vizibil atunci când este vizualizat într-un editor de text. Acest fișier conține, de asemenea, un epitet rasial repetat de 1000 de ori. În special, Brandt a spus că acest lucru singur îi spunea tot ce avea nevoie să știe despre creatorul programului malware Vigilante.

Marele lucru legat de acest malware este, desigur, dacă nu căutați să descărcați software piratat, nu aveți de ce să vă faceți griji.

În mod similar, citiți mai departe pentru a afla despre malware descoperit ascunzându-se în manualele piratate. De asemenea, citiți articolul nostru despre pericolele utilizării software-ului piratat.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.