Sophos 剛剛報道了一款名叫 Vigilante 的惡意軟件,但其行為卻讓許多受害者感到不解。與其它專註於偷密碼、搞破壞、或勒索贖金的惡意軟件不同,Vigilante 會通過修改 Hosts 文件來阻止受害者訪問包括海盜灣(The Pirate Bay)等盜版資源網站。與此同時,它還會下載第二款名叫 ProcessHakcer.jpg 的惡意軟件,但它其實是一個可執行文件。
截圖(來自:Sophos)
對於有一定計算機技能的網友來說,修改 Hosts 文件是阻止計算機訪問特定 Web 服務的一個“簡單粗暴”的方法。
不過 Vigilante 並不會持久維護這份 Hosts 黑名單,除非受害者第二次運行了這款惡意軟件。
從進程監視器的日誌記錄來看,某個偽造身份的惡意軟件篡改了系統自帶的 Hosts 文件。
我們無法辨別該惡意軟件到底是從哪來的,但它的動機似乎很明確 —— 阻止受害者訪問盜版軟件網站。
惡意軟件自帶的黑名單,涵蓋了 1000+ 的網站域名,並將之 IP 地址重定向到了本地迴路(127.0.0.1)。
通過進一步的分析,Sophos 指出某些惡意軟件會將自己偽裝成各種軟件包的盜版副本,然後託管在 Discord 這樣的遊戲或聊天服務器上。
另外也有一些惡意軟件會通過 BT 渠道進行分發,比如假冒成熱門遊戲、生產力工具、甚至安全軟件。
但如果仔細觀察,你會發現它們往往夾帶了一些私貨(附有其它可疑的文件)。
在 VirusTotal 上檢索相關樣本時,可以發現數以百計的不同名稱,比如《求生之路 2》(v2.2.0.1 Last Stand + DLCs + MULTi19)和《我的世界》(1.5.2 破解版 [Full Installer] [Online] [Server List]”。
不過託管在 Discord 上的共享文件,往往是單獨的一個可執行文件,而通過 BT 打包來分發的方式,則更類似於傳統的盜版途徑(添加到一個壓縮包中,包含一個文本文件、其它輔助文件、以及指向盜版網站的鏈接)。
在惡意軟件夾帶的可執行文件中,有一些還偽造了數字簽名。但在證書籤發機構這一欄,都是一長串的 18 個隨機大寫字母。
至於證書的有效期,大部分文件都是從下載首日開始算起的,到期日則是 2039 年 12 月 31 日。
惡意可執行文件的屬性表,同樣與惡意軟件的真身不符。即便大多數都自詡為某款遊戲、或生產力軟件的全功能已授權副本的安裝程序,但惡意軟件製作者似乎並不在意這些細節。
如果在受害者計算機上順利運行,用戶能感知到的時間也非常短暫。在雙擊過後,它會彈出一條“缺乏 MSVCR100.dll”而無法啟動程序的提示,並建議重裝以修復該問題。
通過進程監視器,Sophos 安全研究人員發現它根本沒有調用過 Windows API 來查詢這個動態鏈接庫文件,意味着該惡意軟件只是在虛張聲勢。
而且就算你的系統里已經有 MSVCR100.dll,這對話框還是會無腦地彈出。當然,Vigilante 也不是完全“沒幹正事”,比如它會在運行時檢查能否建立出站網絡連接。
可以的話,Vigilante 會嘗試聯繫 1flchier[.]com 這個域名上的某個網址(注意並不是雲存儲服務提供商 1fichier 的克隆,第三個字符是 l 不是 I)。
諷刺的是,即使惡意軟件會對這些請求使用相同的用戶代理(User-Agent)字符串(Mozilla/5.0 Gecko/41.0 Firefox/41.0),但被其篡改的 Hosts 文件竟然也阻止了受害者訪問合法的 1fichier 域名。
此外該惡意軟件樣本執行了兩個 HTTP GET 請求,其一是搜索名為 ProcessHacker.jpg 文件(輔助可執行負載),其二是通過查詢字符串,將運行的可執行文件的名稱發送給網站運營者。
此外 ProcesserHacker 的二進制文件也表現出了一些有趣的特性,比如設置了 whoareyoutellmeandilltellyouwho 這個互斥鎖,以確保只會運行自身的一份副本。
最後,如果創建了一個零字節的“7686789678967896789678”和“412412512512512”文件,並將之放到特定的 %PATH% 文件路徑,Vigilante 就不會在啟動時篡改 Hosts 文件。