Согласно исследованию Sophos, вредоносное ПО Bizarre Vigilante Malware пытается заблокировать доступ жертв систем Windows к сайтам обмена файлами The Pirate Bay.
![Содержимое вредоносного архива в Bittorrent Содержимое вредоносного архива в Bittorrent](https://habrastorage.org/getpro/habr/upload_files/c40/08a/a69/c4008aa6956d6ae2ce42047f405d9b76.png)
По словам исследователя Sophos Эндрю Брандта, этот вредонос пробивает доменные имена Pirate Bay, добавляя их в файл хостов Windows и указывая на 127.0.0.1, делая их недоступными с машины жертвы. При этом ПО распространяется через BitTorrent.
![Поддельный исполняемый файл вредоносного ПО меняет файл hosts Поддельный исполняемый файл вредоносного ПО меняет файл hosts](https://habrastorage.org/getpro/habr/upload_files/a52/02f/653/a5202f6530db08c7e274485c57e1a812.png)
Программное обеспечение маскируется под взломанные копии легального ПО типа AVG Remediation или Microsoft Visual Studio Enterprise 2019, доступные для загрузки на BitTorrent.
![Один и тот же вредонос выглядит как множество разных программ Один и тот же вредонос выглядит как множество разных программ](https://habrastorage.org/getpro/habr/upload_files/cd1/f5c/b7b/cd1f5cb7bfa3e0a896430eccbe64cf95.png)
Это также могут быть ссылки, размещенные в чатах Discord.
![Источником происхождения этого файла в VirusTotal был Discord Источником происхождения этого файла в VirusTotal был Discord](https://habrastorage.org/getpro/habr/upload_files/728/6f0/313/7286f0313021aaea337c6775546803aa.png)
![Исполняемые файлы в Discord Исполняемые файлы в Discord](https://habrastorage.org/getpro/habr/upload_files/323/758/b20/323758b20dad29c25223c7294cabeff1.png)
Когда вредонос запускается впервые, он создает поддельное всплывающее окно с сообщением, что на компьютере отсутствует файл динамически подключаемой библиотеки (DLL).
![Срок действия сертификата большинства таких файлов истекает 31 декабря 2039 года. Срок действия сертификата большинства таких файлов истекает 31 декабря 2039 года.](https://habrastorage.org/getpro/habr/upload_files/8b7/927/b90/8b7927b906a40b92f9b346f2b47ad97f.png)
После этого ПО проверяет, может ли оно получить доступ к Интернету и извлекаемому домену. Полезная нагрузка блокирует пиратские веб-сайты путем изменения файла hosts в зараженной системе при условии, что она имеет повышенные привилегии безопасности.
![Данные таблицы свойств не совпадают с именами двоичных файлов в строке заголовка Данные таблицы свойств не совпадают с именами двоичных файлов в строке заголовка](https://habrastorage.org/getpro/habr/upload_files/5a1/0be/0f6/5a10be0f6bdafdffb795e78ff5ad9a88.png)
В один файл можно добавить от 100 до более 1000 доменов, которые будут указывать обратно на адрес localhost, 127.0.0.1. Программа ищет определенные имена файлов в папке% PATH%. Если она их находит, то останавливает выполнение и не вносит никаких изменений.
![](https://habrastorage.org/getpro/habr/upload_files/5d6/c91/a94/5d6c91a94b50e04695db978bfde01f11.png)
Проблема с обнаружением этой вредоносной программы заключается в том, что установщики поставляются в комплекте со случайными файлами, такими как изображения, текстовые файлы и файлы .nfo. Они содержат расовые оскорбления и другие случайные символы, которые потенциально могут изменить хеш-значение файла.
В 2020 году несколько доменов, связанных с Pirate Bay, стали общедоступными, так как их владелец не продлил регистрацию. Piratebay.org и ThePiratebay.com продали на аукционе.
Сам сайт в 2012 году перешел с родного домена ThePiratebay.org на ThePiratebay.se, опасаясь, что первый у него отберут власти США. Позже, когда и .se оказался под угрозой, сайту пришлось сменить еще несколько доменов. Теперь ресурс функционирует с ThePiratebay.org.
ссылка на оригинал статьи https://habr.com/ru/articles/563792/
Добавить комментарий