首頁最新消息資安消息

資安消息提升客戶滿意及企業競爭能力公司全體上下人員都有經過 cmmi 軟體成熟度發展教育訓練

【sophos】奇怪的惡意軟件阻止受害者訪問盜版軟件站點
發佈日期: 2021-07-01
內容訊息:

 
  【sophos】奇怪的惡意軟件阻止受害者訪問盜版軟件站點


 
sophos 的安全研究人員最近跟踪並記錄了很長一段時間以來最不尋常的惡意軟件活動之一。這種奇怪的新惡意軟件不會試圖從瀏覽器中抓取您的所有登錄信息,也不會試圖打亂您的文件並索要比特幣贖金。新惡意軟件所做的只是阻止受害者的系統訪問軟件盜版網站。
 
大約十年前,sophos 再次遇到了在功能方面“幾乎相同”的惡意軟件。新的惡意軟件在其自身的能力方面相當謙虛,但其簡單性也很有效。
 
即使它沒有持久性機制,惡意軟件也會修改 windows hosts 文件,其中包含可以將域名定向到特定 ip 地址的本地系統映射。該惡意軟件會插入與盜版網站相關的一百到一千個域,並將它們全部重新映射以指向 127.0.0.1 - loclahost。這有效地阻止了用戶從瀏覽器訪問這些域。
 
沒有額外的功能允許惡意軟件重新添加這些 hosts 文件條目,如果用戶弄清楚發生了什麼並手動編輯文件,訪問將恢復,直到他們再次運行惡意軟件。
 
研究中概述的分發方法包括攜帶涉嫌盜版軟件和遊戲副本的 discord 服務器。此外,通常用於重新分發盜版軟件的 torrent 網站也具有相同的惡意軟件負載,打包成以非常受歡迎的下載和備受追捧的媒體命名的 torrent 文件。
 
一旦惡意軟件部署並修改了 hosts 文件,它還會嘗試與名為 1flchier dor com 的域建立出站連接。如果連接成功,則獲得額外的有效載荷。有效載荷通常稱為 processhacker.jpg,它實際上是一個可執行文件,它執行許多額外的步驟來阻止受害系統執行和訪問盜版軟件。
 
手動清理受惡意軟件影響的系統相對容易。在純文本編輯器中打開 hosts 文件並刪除將各種域重定向到 127.0.0.1 和 localhost 的所有行就足以解決問題。
 
沒有明確的證據表明這種新的惡意軟件與一個更大的家族有關。 sophos 設法檢測到的只是阻止盜版的惡意軟件是使用 qbot 系列惡意軟件中使用的相同打包程序創建的。然而,這兩者沒有任何其他有意義的聯繫。