首页 > 业界 > 关键词 > 恶意软件最新资讯 > 正文

Vigilante恶意软件行为怪异:修改Hosts文件以阻止受害者访问盗版网站

2021-06-18 17:42 · 稿源:cnbeta

Sophos 刚刚报道了一款名叫 Vigilante 的恶意软件,但其行为却让许多受害者感到不解。与其它专注于偷密码、搞破坏、或勒索赎金的恶意软件不同,Vigilante 会通过修改 Hosts 文件来阻止受害者访问包括海盗湾(The Pirate Bay)等盗版资源网站与此同时,它还会下载第二款名叫 ProcessHakcer.jpg 的恶意软件,但它其实是一个可执行文件。

15 pirate-tree-pic.png

截图(来自:Sophos)

对于有一定计算机技能的网友来说,修改 Hosts 文件是阻止计算机访问特定 Web 服务的一个“简单粗暴”的方法。

不过 Vigilante 并不会持久维护这份 Hosts 黑名单,除非受害者第二次运行了这款恶意软件。

1 pirate-hosts-modification-procmon-amongus.png

从进程监视器的日志记录来看,某个伪造身份的恶意软件篡改了系统自带的 Hosts 文件。

我们无法辨别该恶意软件到底是从哪来的,但它的动机似乎很明确 —— 阻止受害者访问盗版软件网站。

13 pirate-hosts-file.png

恶意软件自带的黑名单,涵盖了 1000+ 的网站域名,并将之 IP 地址重定向到了本地回路(127.0.0.1)。

通过进一步的分析,Sophos 指出某些恶意软件会将自己伪装成各种软件包的盗版副本,然后托管在 Discord 这样的游戏或聊天服务器上。

2 discord-hosting-malware-virustotal.png

另外也有一些恶意软件会通过 BT 渠道进行分发,比如假冒成热门游戏、生产力工具、甚至安全软件。

但如果仔细观察,你会发现它们往往夹带了一些私货(附有其它可疑的文件)。

3 pirate-file-icons.png

在 VirusTotal 上检索相关样本时,可以发现数以百计的不同名称,比如《求生之路 2》(v2.2.0.1 Last Stand + DLCs + MULTi19)和《我的世界》(1.5.2 破解版 [Full Installer] [Online] [Server List]”。

不过托管在 Discord 上的共享文件,往往是单独的一个可执行文件,而通过 BT 打包来分发的方式,则更类似于传统的盗版途径(添加到一个压缩包中,包含一个文本文件、其它辅助文件、以及指向盗版网站的链接)。

4 pirate-certificate.png

在恶意软件夹带的可执行文件中,有一些还伪造了数字签名。但在证书签发机构这一栏,都是一长串的 18 个随机大写字母。

5 pirate-games-properties-sheets.png

至于证书的有效期,大部分文件都是从下载首日开始算起的,到期日则是 2039 年 12 月 31 日。

6 pirate-mixed-names.png

恶意可执行文件的属性表,同样与恶意软件的真身不符。即便大多数都自诩为某款游戏、或生产力软件的全功能已授权副本的安装程序,但恶意软件制作者似乎并不在意这些细节。

7 pirate-error-message.png

如果在受害者计算机上顺利运行,用户能感知到的时间也非常短暂。在双击过后,它会弹出一条“缺乏 MSVCR100.dll”而无法启动程序的提示,并建议重装以修复该问题。

8 1flchier-http-request.png

通过进程监视器,Sophos 安全研究人员发现它根本没有调用过 Windows API 来查询这个动态链接库文件,意味着该恶意软件只是在虚张声势。

9 1flchier-user-agent.png

而且就算你的系统里已经有 MSVCR100.dll,这对话框还是会无脑地弹出。当然,Vigilante 也不是完全“没干正事”,比如它会在运行时检查能否建立出站网络连接。

10 processhacker-mutexes.png

可以的话,Vigilante 会尝试联系 1flchier[.]com 这个域名上的某个网址(注意并不是云存储服务提供商 1fichier 的克隆,第三个字符是 l 不是 I)。

11 attack-matrix-processhacker-payload.png

讽刺的是,即使恶意软件会对这些请求使用相同的用户代理(User-Agent)字符串(Mozilla/5.0 Gecko/41.0 Firefox/41.0),但被其篡改的 Hosts 文件竟然也阻止了受害者访问合法的 1fichier 域名。

12 pirate-killswitch.png

此外该恶意软件样本执行了两个 HTTP GET 请求,其一是搜索名为 ProcessHacker.jpg 文件(辅助可执行负载),其二是通过查询字符串,将运行的可执行文件的名称发送给网站运营者。

14 pirate-readme-text-file.png

此外 ProcesserHacker 的二进制文件也表现出了一些有趣的特性,比如设置了 whoareyoutellmeandilltellyouwho 这个互斥锁,以确保只会运行自身的一份副本。

16 pirate-malwarebytes-icons.png

最后,如果创建了一个零字节的“7686789678967896789678”和“412412512512512”文件,并将之放到特定的 %PATH% 文件路径,Vigilante 就不会在启动时篡改 Hosts 文件。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • 安卓的恶意软件是iOS的47倍:苹果CEO蒂姆·库克

    据国外科技媒体报道:苹果首席执行官蒂姆•库克在接受布鲁特采访时说;安卓的恶意软件数量是iOS的47倍。他补充道:“我设计iOS的方式有一个应用程序商店和所有的应用程序在进入商店之前进行审查这使得很多恶意软件远离我们的生态系统。

  • 苹果CEO库克:安卓恶意软件数量是iOS的47倍

    相信不少用户遇到过恶意软件,一旦用户下载了该恶意软件,该软件就会窃取数据、信息、照片并控制手机,不仅可以窃取用户设备上已有的数据,黑客还可以偷偷录制音频和通话、拍摄照片和访问用户地理位置等。近日苹果公司CEO库克提到了恶意软件,还挖苦对手安卓。6月17日消息,据Phone Arena报道,库克在一场活动中表示,安卓恶意软件数量是iOS的47倍以上。库克解释,为什么iOS和安卓之间有如此大的差距,原因在于我们的iOS只有一个Ap

  • 微软发出StrRAT恶意软件警告:不要点击不信任的PDF附件

    请不要贸然打开电子邮件中的 PDF 附件,除非你完全确定文件的来源以及是谁发送给你的。近日,微软的安全情报团队发现了新型恶意软件攻击,通过包含恶意的 PDF 附件进行大规模传播。这些 PDF 附件中包含了名为 StrRAT,这是一个可远程访问的木马程序,可用于窃取密码和用户凭证。除了窃取凭证甚至控制系统之外,微软研究人员还发现,这种恶意软件可以将自己伪装成伪造的勒索软件。关于该恶意软件的推文中,微软表示:“一旦系统被感

  • 微软警告SolarMarker恶意软件正在利用狡猾的SEO中毒手段来传播

    微软安全情报团队刚刚通过 Twitter 平台发出了一则警告,提醒广大软件用户注意提防一款利用了古老且狡猾的手段来传播的新型恶意软件。据悉,疑似 SolarMarker 幕后的恶意软件操纵者,正在通过所谓的“搜索引擎优化中毒”(SEO Poisoning)手段,来将恶意代码植入受害者的计算机。具体说来是,微软指出这涉及利用 SEO 关键词和链接来“填充”数以千计的 PDF 文档。然后这些链接会启动一系列的重定向,最终将毫无戒心的用户引导至托?

  • 安全研究人员发现恶意软件利用一个从未见过的macOS漏洞发动攻击

    上个月,安全研究人员透露,一个臭名昭著的恶意软件家族利用了一个从未见过的macOS漏洞。该漏洞让这些恶意软件绕过macOS安全防御系统,所以它们的运行不受阻碍。有迹象表明,macOS在未来可能再次成为目标。安全公司Jamf声称,它已经发现了一个漏洞存在据,该漏洞允许XCSSET恶意软件在未经同意的情况下访问macOS中需要权限的部分,比如麦克风、摄像头或录制屏幕。XCSSET是趋势科技在2020年首次发现的恶意软件,目标是苹果开发者,特

  • 5月头号恶意软件:Dridex 跌出榜单,Trickbot 跃升至榜首

    Check Point Research 报告指出,通常在勒索软件攻击初始阶段使用的 Dridex 木马是近几个月来最猖獗的恶意软件之一,但现已跌出指数榜单。 2021 年6 月全球领先网络安全解决方案提供商 Check Point ? 软件技术有限公司 (纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research (CPR) 发布了其2021 年5 月最新版《全球威胁指数》报告。CPR 报告称,Trickbot 于2019 年4 月首次跻身排行榜,现已跃居榜首,而 Dridex 老牌木?

  • 美司法部指控一拉脱维亚女性协助开发Trickbot恶意软件

    据外媒报道,美国司法部(DOJ)在一份新闻发布会上称,一名拉脱维亚妇女因涉嫌开发Trickbot恶意软件而受到指控,该恶意软件使数百万台电脑受到感染,目标是学校、医院、公共设施和政府部门。DOJ称,Alla Witte是一个名为Trickbot集团的犯罪组织的一部分,该组织在俄罗斯、白俄罗斯、乌克兰和苏里南活动。据称,她帮助开发了用于勒索软件要求和支付的恶意软件。该部门表示,受害者将收到一份通知,通知会告知他们的电脑已被加密并被指

  • 美国司法部起诉编写Trickbot恶意软件源代码的拉脱维亚女程序员

    美国司法部今天在法庭上提审了一名拉脱维亚女程序员,她是Trickbot恶意软件团队的一员,在那里她担任程序员,编写控制恶意软件和在受感染电脑上部署勒索软件的代码。司法部在今天的一份新闻稿中说,55岁的阿拉·维特来自拉脱维亚,但居住在苏里南的帕拉马里博,于2月6日在佛罗里达州的迈阿密被捕。美国官员说,以 "Max"为名上网的维特自2015年11月Trickbot恶意软件团伙成立以来一直与该团伙合作,当时Dyre恶意软件团伙的残余人员聚

  • 网站破记录,新注册域名上线4天收录首页,出词2个

    ​很多人看到此标题也许觉得深不以为然,可能就是夸大成分或者使用老域名,那么如果你对此有疑虑,请看完如下文章,这篇文章是一篇教程文章,教你如何使用新域名快速收录出词?另外值得注意的是,此篇文章所用的方法均是正规白帽,不涉及半点黑帽手法。

  • 长必读!关于网站抓取、网站死链处理等问题百度官方指南来了

    百度搜索的研发工程师在百度搜索线上公开课中和大家分享了网站抓取建设指南、网站数据生产指南和网站死链处理指南的相关内容,解答了很多站长的疑惑。

  • 如何用Windows主机搭建网站

    之前我们介绍过如何使用Linux操作系统的虚拟主机,VPS主机及独立服务器建站流程,本文笔者针对那些爱好Windows操作系统的站长,详细介绍一下如何使用Windows操作系统虚拟主机搭建网站。其实无论是什么系统的虚拟主机,建站的效果都是一样,只是在使用习惯方面有些区别,比如Linux常用的是cPanel控制面板,Windows是Plesk控制面板,Linux将网站程序内容放在public_html目录内,而Windows主机放在httpdocs文件夹下。价格方面也没有区

  • 游戏被字节和 B 猛攻,音乐追不上腾讯,易这 13 年投了什么?

    在游戏投资这个赛道里,基本看不到 VC 的身影。出手敏捷又阔绰的大公司们这几年不断通过战略投资和收购对游戏市场进行地盘的划定和争抢。

  • 游戏厂商为何喜欢NVIDIA?黄仁勋揭秘:我们软件

    大家玩游戏用的显卡是哪家的?不出意外大部分游戏玩家都是NVIDIA的GeForce家族,JPR统计结果显示NVIDIA在Q1季度占了8成份额,Steam平台上NVIDIA显卡长期占据7成以上的份额,遥遥领先AMD。游戏玩家偏爱NVIDIA显卡的理由多多,性能强,型号选择多,游戏支持度好等等都是优点,而游戏开发者显然也对NVIDIA平台青睐有加,不说RTX光追及DLSS这样的独有优势,通常情况下也是NVIDIA显卡更受开发者认可。这是为什么呢?在月初的台北电脑展?

  • Google正在对涉嫌破坏个人生活安宁的诽谤网站进行打击

    据《纽约时报》报道,Google正在更新其搜索算法,以防止网站在搜索结果中出现未经证实的关于涉及个人的诽谤内容。这些变化是在《纽约时报》最近的一系列报道之后做出的,这些报道发现了一组庞大的网站,其中有未经证实的、可能破坏个人生活的描述,同时还有一个删帖服务行业,承诺从搜索结果中删除违规内容,并收取大量费用。Google负责全球政策和标准以及信任和安全的副总裁大卫·格拉夫(David Graff)说,这个搜索巨头正在对其?

  • 云计算公司Fastly:已修复造成多个网站宕机的故障

    据国外媒体报道,当地时间周二,互联网历史上发生了一次最严重的宕机事件,这一事件是由云计算公司Fastly造成的。

  • 上线不到一个月就凉了 特朗普个人网站宣布永久关闭

    据外媒报道,美国前总统特朗普的高级助手米勒表示,一个月前推出的特朗普个人网站“特朗普的办公桌”已永久关闭。

  • 络隐私组织NYOB对网站弹Cookie行为确认横幅的行为采取行动

    据Euractiv报道,一个网络隐私运动者团体周一宣布,它正在起诉数百使用弹出式横幅要求用户接受Cookies的网站。总部设在维也纳的NOYB组织(none of your business的首字母缩写)宣布,它将就所谓的Cookie横幅恐怖向企业提出500多份投诉草案,因为这已经使整个欧洲的人们在互联网上的体验变得令人沮丧。访问:天猫6·18 “开门红”超级红包活动主会场 | 手机版京东6·18“京享红包”开始领取 最大面额高达18618元据NOYB称,许多在互?

  • 金山软件一季度营收15.6亿元 网络游戏贡献近一半

    5月25日消息,金山软件今日发布2021年第一季度财报,报告期内,金山软件总收益15.6亿元,同比增长33%;净利润1.17亿元,同比增长1763%。从营收构成来看,第一季度来自办公软件及服务的营收为7.71亿元,来自网络游戏及其他的营收为7.89亿元,占总营收的比重达到50.6%。截至2021年3月,办公软件主要产品月活跃用户数达4.94亿,去年同期为4.47亿,同比增长11%,环比增长4%。累计付费用户数为1962万。

  • 华为注册鸿鹍商标:国际分类为科学仪器、网站服务

    ​华为注册鸿鹍商标。据天眼查显示,近日,华为技术有限公司申请注册「鸿鹍」商标,国际分类为科学仪器、网站服务。目前商标状态为申请中。

  • 视频网站的避坑指南,最后这点90%的人都没想到!

    去年 11 月,爱奇艺率先提出VIP视频会员价格整体上调计划并开始实施。随后腾讯视频也跟进上调了VIP会员价格,这种操作让本就不富裕的小伙伴们雪上加霜。针对此类事件,爱奇艺CEO龚宇表示:“会费上涨并不是创新,而是行业发展的必然趋势。因为爱奇艺的定价是在 2011 年决定的,整整十年,中国哪个行业、哪个服务、哪个产品十一年不涨价?这是必然的涨价。”这种来自官方“理直气壮”的解释显然无法让网友满意,于是大家纷纷开启了?

  • 热门标签