Новое вредоносное ПО — это не то, что мы ожидаем найти во вредоносном ПО. Он не стремится украсть ваши данные или заработать деньги – он стремится предотвратить посещение зараженными компьютерами сайтов с пиратским программным обеспечением. Названное «Vigilante Malware», оно изменяет файл HOSTS зараженной системы.
Идентификация вредоносного ПО
Исследователь SophosLabs Эндрю Брандт написал статью, описывающую, как его группа идентифицировала вредоносное ПО Vigilante и как оно работает. Наряду с изменением файла HOSTS он также загружает вторую часть: исполняемый файл ProcessHacker.
Веб-сайт можно заблокировать, изменив файл HOSTS. В отличие от других вредоносных программ, цель состоит в том, чтобы не заражать компьютер на постоянной основе. Его можно удалить, и он не заразится повторно, пока программа не будет запущена снова.
Заражённым компьютерам запрещено посещать сайты с пиратским ПО. Имя программного обеспечения, которое искал пользователь, отправляется на другой веб-сайт, и доставляется вторая полезная нагрузка. При этом в файл HOSTS добавляются сотни веб-доменов.
Некоторые вредоносные программы Vigilante размещались в игровом чате Discord. Bittorrent нарушил работу других копий, которые были названы популярными играми, а также программным обеспечением для повышения производительности и безопасности. Предполагается, что вредоносная программа возникла из учетной записи файлообменника ThePirateBay.
Файлы, размещенные на Discord, представляют собой отдельные исполняемые файлы, в то время как файлы Bittorrent упакованы в другие файлы, чтобы напоминать то, как часто распространяется пиратское программное обеспечение.
Многие исполняемые файлы были подписаны фальшивым кодировщиком. Подпись «имя» представляет собой случайную строку из 18 заглавных букв.
Брандт объяснил: «Таблицы свойств исполняемых файлов вредоносного ПО не соответствуют тому, каким оно кажется по названию файла вредоносного ПО. Большинство файлов представляли собой установщики полнофункциональных лицензионных копий игр или программного обеспечения для повышения производительности, но многие из реальных файлов имеют совершенно другие имена в поле «Описание файла», например «AVG remediation exe», «Шифрование диска BitLocker».,» или «Средство развертывания Microsoft Office Multi-Msi ActiveDirectory». «
Что делает вредоносное ПО Vigilante
При двойном щелчке по вредоносному ПО Vigilante появляется ложное сообщение об ошибке следующего содержания: «Программа не может запуститься, поскольку на вашем компьютере отсутствует MSVCR100.dll. Попробуйте установить программу, чтобы решить проблему».
Брандт написал о своем опыте работы с вредоносным ПО: «Используя Process Monitor, я смог определить, что оно даже не запрашивает этот файл у Windows API. Чтобы раскрыть блеф вредоносной программы, я бросил действующую копию этой старой DLL (которая проверяется) в папку с самой программой, но фиктивное диалоговое окно все равно появляется».
После выполнения вредоносная программа проверяет, может ли она установить исходящее сетевое соединение. Он пытается связаться с URI в домене 1flchier-dot-com.
Три файла, прилагаемые к установщику, бесполезны и, похоже, включены только для того, чтобы создать вид типичных файлов, общих для Bittorrent. Файл data.dat представляет собой изображение соснового леса в формате JPEG. Другой файл имеет размер от 90 КБ до более 200 КБ и содержит в основном «бессмысленные данные со случайным именем файла и суффиксом файла.nfo».
Первые 1150 байт файла.nfo содержат мусорные данные. За ним следует непечатаемый символ, поэтому все, что происходит после него, не видно при просмотре в текстовом редакторе. Этот файл также содержит расовый эпитет, повторенный 1000 раз. Примечательно, что Брандт сказал, что одно это дало ему все, что ему нужно было знать о создателе вредоносного ПО Vigilante.
Самое замечательное в этом вредоносном ПО то, что, если вы не собираетесь загружать пиратское программное обеспечение, вам не о чем беспокоиться.
Аналогично, читайте дальше, чтобы узнать о вредоносном ПО, которое было обнаружено в пиратских учебниках. Также прочитайте нашу статью об опасностях использования пиратского ПО.
