Целью большинства вредоносных программ является получение какой-либо выгоды для злоумышленников, финансовой или личной. Однако недавно исследователи обнаружили уникальную вредоносную программу которая преследует единственную цель: блокировать посещение зараженными компьютерами веб-сайтов, посвященных пиратскому программному обеспечению.
Вредоносная программа (которую главный исследователь SophosLabs Эндрю Брандт назвал «одним из самых странных случаев, которые видел за последнее время») работает путем изменения файла HOSTS на зараженной системе, что является «грубым, но эффективным методом предотвращения доступа компьютера к веб-сайту», – написал он в отчёте.
Файл HOSTS является неотъемлемой частью ОС Windows, используемой для сопоставления IP-адресов с именами хостов или доменными именами.
Однако, поскольку вредоносная программа не имеет механизма защиты, любой зараженный пользователь может легко устранить последствия её воздействия на локальный компьютер, удалив затронутые записи после их добавления в файл HOSTS. Эти записи останутся удаленными, если, конечно, система не будет заражена вредоносной программой во второй раз.
«Похоже, что это новый приём в рамках старой атаки, в ходе которой люди пытались загрузить пиратское программное обеспечение и мультимедиа. В данном случае, правда, похоже, что это частное лицо или группа лиц, пытающаяся защитить интеллектуальную собственность. Но не заблуждайтесь, это всё равно явно преступное поведение», – рассказал изданию Threatpost Джон Бамбенек, советник по анализу угроз в Netenrich.
Если человек загружает и запускает зараженное программное обеспечение, он сразу же блокирует доступ к файлу.
При двойном щелчке зараженное программное обеспечение выдает ложное сообщение об ошибке, информируя пользователя о том, что программа не может запуститься, поскольку на его компьютере отсутствует файл «MSVCR100.dll». Оно также предлагает пользователю попытаться переустановить программу, чтобы устранить проблему.
Вредоносная программа также проверяет зараженную систему, может ли та установить исходящее соединение и то пытается связаться с доменом «1flchier[.]com».
После установки соединения, программа выкачивает исполняемый файл с именем ProcessHacker.jpg, который выполняет еще несколько действий для блокировки зараженной системы от запуска пиратского программного обеспечения.
ProcessHacker.jpg также изменяет файл HOSTS, когда ему присваиваются привилегии администратора.
Исследователи не смогли определить происхождение вредоносной программы и зачем ей ограничивать доступ к пиратским трекерам. Однако, она может служить некими воротами для загрузки другого вредоносного ПО.
Чтобы очистить файл HOSTS вручную на зараженных системах, пользователи могут запустить Блокнот (с правами администратора) и изменить файл по адресу c:\Windows\System32\Drivers\etc\hosts, удалив все строки, начинающиеся с «127.0.0.1» и ссылающиеся на различные сайты ThePirateBay (и другие), сказал он.
Более подробную информацию о вредоносной программе также можно найти на странице GitHub компании Sophos.
Ещё по теме: