Вредоносная программа Oddball блокирует доступ к пиратскому ПО

21 июня 2021 года

<dynamicpagelist>

category = Опубликовано category = Информационная безопасность notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

Большинство операторов вредоносных программ преследуют какую-то выгоду. Однако исследователи в области киберезопасности из компании Sophos обнаружили уникальное вредоносное ПО Oddball, единственной целью которого является предотвратить посещение web-сайтов, предлагающих пиратское программное обеспечение.

Вредоносная программа изменяет файл HOSTS на зараженной системе, используя «грубый, но эффективный метод предотвращения доступа компьютера к web-адресу». Файл HOSTS является неотъемлемой частью ОС Windows и используется для сопоставления IP-адресов с именами хостов или доменными именами. Таким образом, он действует в качестве локальной службы DNS.

Поскольку вредоносная программа не обеспечивает персистентность, любой пользователь может легко отменить ее эффект на локальном компьютере, удалив затронутые записи после их добавления в файл HOSTS.

Злоумышленники использовали различные средства для распространения вредоносного ПО и привлечения внимания людей, которые склонны использовать популярные торрент-сайты для загрузки пиратского ПО. Один из методов распространения заключался в использовании мессенджера Discord. Прочие копии ПО распространялись через Bittorrent и были замаскированы под популярные игры, инструменты повышения производительности и даже продукты безопасности.

После запуска исполняемого файла программное обеспечение выдает «ложное сообщение об ошибке», информирующее пользователя о невозможности запуститься из-за отсутствия файла MSVCR100.dll. Вредоносная программа также проверяет зараженную систему на предмет возможности установить исходящее сетевое соединение, и, если это возможно, пытается связаться с URI в домене 1flchier[.]com. Предположительно, домен представляет собой копию поставщика облачного хранилища 1fichier, использующий букву «L» в качестве третьего символа вместо «I».

При установлении контакта с сайтом ПО загружает исполняемый файл ProcessHacker.jpg, модифицирующий файл HOST и осуществляющий блокировку доступа к пиратскому ПО.

 

ИсточникиПравить

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Вредоносная программа Oddball блокирует доступ к пиратскому ПО