Keista kenkėjiška programa blokuoja aukas nuo piratinės programinės įrangos svetainių

Saugumo tyrėjai su „Sophos“ neseniai labai ilgą laiką stebėjo ir dokumentavo vieną neįprasčiausių kenkėjiškų programų kampanijų. Ši keista nauja kenkėjiška programa nesistengia nuskaityti visos jūsų prisijungimo informacijos iš jūsų naršyklės, taip pat nesistengia subraižyti jūsų failų ir prašyti išpirkos iš Bitcoin. Viskas, ką daro nauja kenkėjiška programa, yra užblokuoti aukos sistemą patekti į programinės įrangos piratavimo svetaines.

Maždaug prieš dešimtmetį „Sophos“ vėl pateko į kenkėjiškas programas, kurių funkcionalumas yra „beveik identiškas“. Naujoji kenkėjiška programa yra gana kukli savo sugebėjimais, bet taip pat veiksminga ir paprastumu.

Nors kenkėjiška programa neturi patvarumo mechanizmų, ji modifikuoja „Windows HOSTS“ failą, kuriame yra vietinės sistemos žemėlapis, galintis nukreipti domenų pavadinimus į konkrečius IP adresus. Kenkėjiška programa įterpia nuo šimto iki tūkstančio domenų, susijusių su piratavimo svetainėmis, ir juos visus pakartoja, kad nurodytų 127.0.0.1 - vietinį pavadinimą. Tai veiksmingai neleidžia vartotojui pasiekti tų domenų iš naršyklės.

Nėra jokios papildomos funkcijos, leidžiančios kenkėjiškoms programoms iš naujo pridėti tuos HOSTS failų įrašus. Jei vartotojas išsiaiškins, kas vyksta, ir redaguos failą rankiniu būdu, prieiga bus atkurta, kol jis dar kartą paleis kenkėjišką programą.

Tyrime aprašyti platinimo metodai apima „Discord“ serverius, kurie nešioja tariamas piratines programinės įrangos ir žaidimų kopijas. Be to, torrentų svetainėse, kurios paprastai naudojamos piratinei programinei įrangai platinti, taip pat buvo ta pati kenkėjiškų programų naudingoji apkrova, supakuota į torrentų failus, pavadintus pagal labai populiarius atsisiuntimus ir labai ieškomą mediją.

Kai kenkėjiška programa įdiegia ir modifikuoja HOSTS failą, ji taip pat bando išeinantį ryšį su domenu pavadinimu 1flchier dor com. Jei prisijungti pavyksta, gaunama papildoma naudingoji apkrova. Naudingoji apkrova paprastai vadinama „ProcessHacker.jpg“ ir iš tikrųjų yra vykdomasis failas, atliekantis daugybę papildomų veiksmų, kad aukos sistemoje nebūtų vykdoma ir prieinama piratinė programinė įranga.

Rankiniu būdu išvalyti sistemas, kurias paveikė kenkėjiškos programos, palyginti lengva. Pakanka atidaryti HOSTS failą paprasto teksto rengyklėje ir pašalinti visas eilutes, nukreipiančias įvairius domenus į 127.0.0.1 ir localhost.

Nėra aiškių įrodymų, kad ši nauja kenkėjiška programa būtų susijusi su nusistovėjusia didesne šeima. „Sophos“ pavyko aptikti tik tai, kad piratavimą blokuojanti kenkėjiška programa buvo sukurta naudojant tą patį pakuotę, naudojamą „Qbot“ kenkėjiškų programų šeimoje. Tačiau šie du dalykai nėra susiję jokiu kitu prasmingu būdu.