„Vigilante Malware” blokuje witryny piractwa komputerowego

„Vigilante Malware” blokuje witryny piractwa komputerowego

Nowe złośliwe oprogramowanie to nic, czego oczekujemy od złośliwego oprogramowania. Nie chcesz ukraść swoich danych ani zarabiać pieniędzy; stara się uniemożliwić zainfekowanym komputerom odwiedzanie witryn piractwa komputerowego. Nazywany „Obserwatorem złośliwego oprogramowania”, modyfikuje plik HOSTS zainfekowanego systemu.

Identyfikowanie złośliwego oprogramowania Vigilante

Andrew Brandt, badacz SophosLabs napisał artykuł opisuje, jak jego grupa zidentyfikowała Vigilante Malware i jak to działa. Oprócz modyfikacji pliku HOSTS pobiera również drugi element: plik wykonywalny ProcessHacker.

Stronę internetową można zablokować, modyfikując plik HOSTS. W przeciwieństwie do innych złośliwych programów, celem nie jest ciągłe infekowanie komputera. Można go usunąć i nie zostanie ponownie zainfekowany, chyba że program zostanie ponownie uruchomiony.

Pirackie oprogramowanie Vigilante Malware

Zainfekowane komputery nie mogą odwiedzać witryn pirackich. Nazwa oprogramowania, którego szukał użytkownik, jest wysyłana do innej witryny i dostarczany jest drugi ładunek. Dodaje to setki domen internetowych do pliku HOSTS.

Niektóre złośliwe oprogramowanie Vigilante były hostowane w usłudze czatu Discord w grze. Bittorrent wycofał inne kopie, które zostały nazwane popularnymi grami oraz oprogramowaniem zwiększającym wydajność i zabezpieczającym. Uważa się, że złośliwe oprogramowanie pochodzi z konta do udostępniania plików ThePirateBay.

Pliki hostowane na Discord wydają się być pojedynczymi plikami wykonywalnymi, podczas gdy pliki Bittorrent są dołączane do innych plików, aby przypominać sposób, w jaki często udostępniane jest pirackie oprogramowanie.

Wiele plików wykonywalnych zostało podpisanych cyfrowo przez twórcę fałszywego kodu. Podpis „imię” to po prostu losowy ciąg 18 wielkich liter.

Plik wykonywalny Vigilante Malware

Brandt wyjaśnił: „Arkusze właściwości plików wykonywalnych złośliwego oprogramowania nie są zgodne z nazwą pliku, który wydaje się być złośliwym oprogramowaniem. Większość plików przedstawiała się jako w pełni funkcjonalne i licencjonowane kopie instalatorów gier lub oprogramowania biurowego, ale wiele rzeczywistych plików ma zupełnie inne nazwy w polu Opis pliku, takie jak „plik AVG remediation exe”, „szyfrowanie dysków funkcją BitLocker” lub ’ Narzędzie do wdrażania usługi Microsoft Office Multi-Msi Active Directory ’. „

Czytać  Zagrożenie WhatsApp wyjaśnia, w jaki sposób konta zostaną usunięte

Co robi złośliwe oprogramowanie Vigilante?

Dwukrotne kliknięcie Malware Vigilante powoduje wyświetlenie fałszywego komunikatu o błędzie: „Program nie może się uruchomić, ponieważ na komputerze brakuje pliku MSVCR100.dll. Spróbuj zainstalować program, aby rozwiązać problem.”

Brandt napisał o swoich doświadczeniach ze złośliwym oprogramowaniem: „Używając Process Monitor, udało mi się ustalić, że nie przesłał on nawet zapytania do interfejsu API systemu Windows dla tego pliku. Aby wywołać oszustwo złośliwego oprogramowania, zostawiłem prawidłową kopię tej starszej biblioteki DLL (która jest zaznaczona) w folderze z samym programem, ale i tak pojawia się fałszywe okno dialogowe.

Po uruchomieniu złośliwe oprogramowanie sprawdza, czy może nawiązać wychodzące połączenie sieciowe. Próbujesz skontaktować się z identyfikatorem URI w domenie 1flchier-dot-com.

Oprogramowanie strony internetowej Vigilante Malware

Trzy pliki dołączone do instalatora są bezużyteczne i wydają się być dołączone tylko w celu uzyskania wyglądu typowych udziałów plików Bittorrent. Plik „data.dat” to obraz JPEG lasu sosnowego. Inny plik ma rozmiar od 90 kb do ponad 200 kb i zawiera głównie „bezużyteczne dane z losową nazwą pliku i sufiksem .nfo”.

Pierwsze 1150 bajtów pliku .nfo zawiera niepotrzebne dane. Po nim następuje znak niedrukowalny, dzięki czemu wszystko, co następuje, nie jest widoczne podczas przeglądania w edytorze tekstu. Ten plik zawiera również rasowy epitet powtórzony 1000 razy. W szczególności Brandt powiedział, że to po prostu powiedziało mu wszystko, co musiał wiedzieć o twórcy Vigilante Malware.

Najlepszą rzeczą w tym złośliwym oprogramowaniu jest oczywiście to, że jeśli nie chcesz pobierać pirackiego oprogramowania, nie masz się czym martwić.

Podobnie czytaj dalej, aby dowiedzieć się o złośliwym oprogramowaniu, które wykryto w zhakowanych podręcznikach. Przeczytaj także nasz artykuł na temat niebezpieczeństw związanych z używaniem pirackiego oprogramowania.

Czy ten artykuł jest przydatny?