Vigilante: skadlig programvara som blockerar åtkomst till piratnedladdningswebbplatser

0 Shares

Det är fallet med Vigilante skadlig programvara, upptäckt och döpt av SophosLabs chefsforskare Andrew Brandt . Skadlig programvara installeras när användare laddar ner och kör vad de tror är piratkopierad programvara eller spel. Skadlig programvara rapporterar dock användarens filnamn och IP-adress till en server som kontrolleras av angriparen.

Skadlig programvara blockerar åtkomst till 1 000 piratwebbplatser

Dessutom är en annan liten detalj som skadlig programvara har blockerar åtkomst till mer än 1 000 sidor relaterade till piratkopiering , Inklusive The Pirate Bay . Med detta verkar det som om den skadliga programvaran vid första anblicken skapades av någon antipiratförening som ACE.

Således, medan de flesta skadliga program försöker stjäla data som lösenord, cookies, immateriella rättigheter eller tangenttryckningar, är den tillägnad att försöka stoppa användarens hackeraktivitet, något som inte borde spela någon roll för skaparna av skadlig programvara.

För att blockera åtkomst till webbsidor, skadlig programvara ändrar Windows hosts-filen , omdirigerar webbadresserna till IP 127.0.0.1 , så att webben inte laddas när användaren försöker komma åt dem från webbläsaren. Det enda sättet att fixa det är att gå till arkivet och ta bort de nya posterna.

Infekterade filer i Discord-pooler och torrents

Distributionen av skadlig programvara verkar vara mycket utbredd, där Brandt har upptäckt den i flera filer som delas i Discord-grupper . Han upptäckte det också torrent-nätverk inom spel, produktivitetsverktyg och säkerhetsrelaterad programvara.

Analysera skadlig kod , andra egenheter finns också. Till exempel är många av dess körbara filer digitalt signerade med ett falskt signeringsverktyg. Dessa signaturer innehåller en sträng på 18 tecken med gemener och versaler. Giltigheten för certifikaten börjar den dag då filerna blir tillgängliga och de upphör att gälla 2039.

Intressant nog när koden analyseras med en hex editor , de körbara filerna innehåller också ett rasistiskt budskap som upprepas mer än 1 000 gånger. Detta verkar gjort för att modifiera filens slutliga hash, och ger mycket information om vilken typ av person som har kunnat skapa skadlig programvara och dess principer.

Vigilante malware har fördelen att den inte har någon inbyggd beständighetsmetod, så att när den väl har agerat så agerar den inte igen. Allt du behöver göra är därför att redigera hosts-filen för att återställa den till det normala. Naturligtvis kan de stulna uppgifterna inte återställas.

0 Shares