[ad_1]

علامت هشدار دهنده روی حصار فلزی به سبک مشبک.

یک محقق یکی از غیر معمول ترین یافته ها را در سالنامه بدافزار کشف کرده است: پرونده هایی که توسط بمب ها رهگیری می شوند و بارگیرنده ها را به بیرون می کشد و سعی می کند از بارگیری های غیرمجاز در آینده جلوگیری کند. این پرونده ها در سایت های بازدید شده توسط دزدان دریایی نرم افزار موجود است.

Vigilante ، همانطور که اندرو برند ، محقق ارشد SophosLabs خواستار بدافزار است ، هنگامی که قربانیان آنچه را که فکر می کنند نرم افزار یا بازی های دزدی دریایی است بارگیری و اجرا می کنند ، نصب می شود. در پشت صحنه ، بدافزار نام پرونده را که اجرا می شود ، به همراه آدرس IP رایانه های قربانیان به سرور کنترل شده توسط مهاجم گزارش می دهد. سرانجام ، Vigilante در تلاش است تا رایانه های قربانیان را تغییر دهد تا آنها دیگر به thepiratebay.com و 1000 سایت دیگر راهزنی دسترسی نداشته باشند.

بدافزار معمولی شما نیست

برانت گفت: “دیدن چنین چیزی واقعاً غیرمعمول است زیرا معمولاً تنها یک انگیزه در پشت بیشتر بدافزارها وجود دارد: سرقت اشیا things.” در توییتر نوشت. “چه رمزهای عبور ، چه کلید زدن ، چه کوکی ها ، چه مالکیت معنوی ، یا دسترسی ، یا حتی چرخه پردازنده برای استخراج ارز رمزنگاری شده ، سرقت انگیزه است. اما در این مورد نیست. این دادگاه ها واقعاً فقط چند کار انجام دادند ، هیچ یک از آنها با انگیزه معمول مجرمان بدخواه مطابقت نداشت. “

پس از اجرای قربانیان پرونده Trojan ، نام پرونده و آدرس IP در قالب درخواست HTTP GET به 1flchier کنترل شده توسط مهاجم ارسال می شود[.]com ، که به راحتی می تواند با ارائه دهنده ذخیره سازی ابر 1fichier اشتباه گرفته شود (اولین حرف با L به عنوان کاراکتر سوم در نام به جای I نوشته شده است). بدافزار موجود در پرونده ها تقریباً یکسان است ، به جز نام پرونده هایی که در درخواست های وب ایجاد می کند.

Vigilante همچنان به بروزرسانی فایلی در رایانه آلوده که مانع اتصال آن به The Pirate Bay و سایر مقاصد اینترنتی می شود که توسط افرادی که نرم افزارهای غیرقانونی را می فروشند ، استفاده می کند. به طور خاص ، بدافزار Hosts.txt را به روز می کند ، فایلی که یک یا چند آدرس دامنه را با آدرس های IP مختلف جفت می کند. همانطور که در تصویر زیر نشان داده شده است ، بدافزار thepiratebay.com را با 127.0.0.1 جفت می کند ، یک آدرس IP مخصوص که اغلب آدرس محلی یا معکوس نامیده می شود و رایانه ها از آن برای شناسایی آدرس IP واقعی خود به سیستم های دیگر استفاده می کنند.

سوفوس

با مقایسه دامنه ها با میزبان محلی ، بدافزار تضمین می کند که کامپیوتر دیگر به سایت ها دسترسی ندارد. تنها راه برای برگرداندن قفل ، ویرایش پرونده میزبان برای حذف مطالب است.

برند دریافت که برخی از تروجان ها در بسته های نرم افزاری موجود در سرویس گفتگوی میزبانی شده توسط Discord مخفی شده اند. وی دریافت که دیگران به عنوان بازی های محبوب ، ابزارهای عملکرد و محصولات امنیتی موجود از طریق BitTorrent مبدل می شوند.

عجایب دیگری نیز وجود دارد. بسیاری از قابلیت های اجرایی Trojan با استفاده از ابزار جعلی امضای کد به صورت دیجیتالی امضا می شوند. امضاها شامل رشته ای از حروف بزرگ و کوچک 18 حرفی است که به طور تصادفی ایجاد می شوند. اعتبار گواهی از روزی که پرونده ها در دسترس قرار گرفتند شروع می شود و در سال 2039 منقضی می شود. علاوه بر این ، صفحات مشخصات فایل های اجرایی با نام پرونده مطابقت ندارند.

هنگام مشاهده از طریق ویرایشگر hex ، پرونده های اجرایی همچنین حاوی یک عنوان نژادی هستند که بیش از 1000 بار تکرار می شود و به دنبال آن یک بلوک بزرگ و دلخواه از حروف الفبا وجود دارد.

برند می نویسد: “پر کردن بایگانی با پرونده های بی هدف از هر طرحی به سادگی می تواند مقدار هش بایگانی را تغییر دهد.” “پر كردن آن با تهمت نژادپرستانه ، هر آنچه را كه لازم داشتم درباره خالق آن بدانم ، به من گفت.”

Vigilante روش ماندگاری ندارد ، به این معنی که هیچ راهی برای نصب باقی نمی ماند. این بدان معنی است که افرادی که آلوده شده اند فقط باید ویرایشگر پرونده میزبان خود باشند تا ضد عفونی شوند. SophosLabs در اینجا شاخص های داد و ستد را ارائه می دهد.



[ad_2]

منبع: tarjome-news.ir