研究人员在恶意软件中未发现的一个更不寻常的发现之一:响起的文件在默认的软件海盗经常光顾的网站上提供,该网站将来试图防止未来未经授权的下载。
Vigilante,正如Sophoslabs首席研究员Andrew Brandt正在调用恶意软件,当受害者下载并执行他们认为是盗版软件或游戏时都安装了。在幕后,恶意软件报告以受害者计算机的IP地址向攻击者控制的服务器报告文件名。作为一个整理触摸,Vigilante试图修改受害者的计算机,因此他们无法再访问ThePirateBay.com和多达1000个其他海盗网站。
“看到这样的东西真的很不寻常,因为大多数恶意软件背后的一个动机是:偷东西,”Brandt在Twitter上写道。 “这是一个密码,或击键,或cookie或cookie,或知识产权,或访问,甚至是CPU周期到挖掘加密电机,盗窃是动机。但不是在这种情况下。这些样本真的只做了一些事情,其中没有一个适合恶意软件罪犯的典型动机。“
但不是在这种情况下。这些样本真的只做了一些事情,其中没有一个适合恶意软件罪犯的典型动机。有一件事,他们在PC上修改主机文件以添加条目。很多条目。他们有一个共同的主题。 pic.twitter.com/o1z2fsxz1n.
- 责任Brandt(@ThrereAtresearch)2021年6月17日
一旦受害者执行了特洛克明的文件,文件名和IP地址就以HTTP GET请求的形式发送给攻击者控制的1FLCHIER [。] COM,它可以很容易地与云存储提供商1fichier混淆(拼写一个l作为名字的第三个字符而不是i)。除了在Web请求中生成的文件名,文件中的恶意软件很大程度上是相同的。
Vigilante继续更新受感染的计算机上的文件,该文件可防止它连接到海盗托架和其他已知的互联网目的地被人们交易盗版软件使用。具体而言,恶意软件更新Hosts.txt,对一个或多个域地址对不同的IP地址对。作为下面的图像显示,Malware对ThePirateBay.com到127.0.0.1,一个专用IP地址,通常称为localhost或环回地址,该计算机用于将其实际IP地址识别到其他系统。
通过将域映射到本地主机,恶意软件可确保计算机无法再访问该站点。反转阻止的唯一方法是编辑主机文件以删除该条目。
Brandt发现了一些特洛伊木马潜伏在一个不和谐托管的聊天服务上的软件包中。他发现其他伪装成流行的游戏,生产力工具和通过BitTorrent提供的安全产品。
还有其他奇怪。许多特洛伊州的可执行文件使用虚假的代码签名工具数字签名。签名包含一串随机生成的18字符大写和小写字母。证书有效性在文件中开始的那一天开始,设置为在2039年到期。此外,可执行文件的属性表不与文件名保持一致。
通过十六进制编辑器查看时,还包含一个种族型绰号,重复超过1,000次,然后是大型随机大小的字母字符块。
Brandt写道,“可以简单地完成”用无需随机长度的随机长度填充存档“,以修改存档的哈希值。” “用种族主义者填充它,告诉我所有我需要了解其创造者。”
Vigilante没有持久性方法,这意味着它无法保持安装。这意味着受感染的人只需要编辑他们的主机文件才能消毒。 Sophoslabs在这里提供妥协指标。