奇怪的恶意软件阻止受害者访问盗版软件站点
Sophos 的安全研究人员最近跟踪并记录了很长一段时间以来最不寻常的恶意软件活动之一。这种奇怪的新恶意软件不会试图从浏览器中抓取您的所有登录信息,也不会试图打乱您的文件并索要比特币赎金。新恶意软件所做的只是阻止受害者的系统访问软件盗版网站。
大约十年前,Sophos 再次遇到了在功能方面“几乎相同”的恶意软件。新的恶意软件在其自身的能力方面相当谦虚,但其简单性也很有效。
即使它没有持久性机制,恶意软件也会修改 Windows HOSTS 文件,其中包含可以将域名定向到特定 IP 地址的本地系统映射。该恶意软件会插入与盗版网站相关的一百到一千个域,并将它们全部重新映射以指向 127.0.0.1 - loclahost。这有效地阻止了用户从浏览器访问这些域。
没有额外的功能允许恶意软件重新添加这些 HOSTS 文件条目,如果用户弄清楚发生了什么并手动编辑文件,访问将恢复,直到他们再次运行恶意软件。
研究中概述的分发方法包括携带涉嫌盗版软件和游戏副本的 Discord 服务器。此外,通常用于重新分发盗版软件的 torrent 网站也具有相同的恶意软件负载,打包成以非常受欢迎的下载和备受追捧的媒体命名的 torrent 文件。
一旦恶意软件部署并修改了 HOSTS 文件,它还会尝试与名为 1flchier dor com 的域建立出站连接。如果连接成功,则获得额外的有效载荷。有效载荷通常称为 ProcessHacker.jpg,它实际上是一个可执行文件,它执行许多额外的步骤来阻止受害系统执行和访问盗版软件。
手动清理受恶意软件影响的系统相对容易。在纯文本编辑器中打开 HOSTS 文件并删除将各种域重定向到 127.0.0.1 和 localhost 的所有行就足以解决问题。
没有明确的证据表明这种新的恶意软件与一个更大的家族有关。 Sophos 设法检测到的只是阻止盗版的恶意软件是使用 Qbot 系列恶意软件中使用的相同打包程序创建的。然而,这两者没有任何其他有意义的联系。