百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 编程网 > 正文

Vigilante恶意软件行为怪异:修改Hosts文件以阻止受害者访问盗版网站

yuyutoo 2025-04-02 00:09 4 浏览 0 评论

Sophos 刚刚报道了一款名叫 Vigilante 的恶意软件,但其行为却让许多受害者感到不解。与其它专注于偷密码、搞破坏、或勒索赎金的恶意软件不同,Vigilante 会通过修改 Hosts 文件来阻止受害者访问包括海盗湾(The Pirate Bay)等盗版资源网站。与此同时,它还会下载第二款名叫 ProcessHakcer.jpg 的恶意软件,但它其实是一个可执行文件。

截图(来自:Sophos)

对于有一定计算机技能的网友来说,修改 Hosts 文件是阻止计算机访问特定 Web 服务的一个“简单粗暴”的方法。

不过 Vigilante 并不会持久维护这份 Hosts 黑名单,除非受害者第二次运行了这款恶意软件。

从进程监视器的日志记录来看,某个伪造身份的恶意软件篡改了系统自带的 Hosts 文件。

我们无法辨别该恶意软件到底是从哪来的,但它的动机似乎很明确 —— 阻止受害者访问盗版软件网站。

恶意软件自带的黑名单,涵盖了 1000+ 的网站域名,并将之 IP 地址重定向到了本地回路(127.0.0.1)。

通过进一步的分析,Sophos 指出某些恶意软件会将自己伪装成各种软件包的盗版副本,然后托管在 Discord 这样的游戏或聊天服务器上。

另外也有一些恶意软件会通过 BT 渠道进行分发,比如假冒成热门游戏、生产力工具、甚至安全软件。

但如果仔细观察,你会发现它们往往夹带了一些私货(附有其它可疑的文件)。

在 VirusTotal 上检索相关样本时,可以发现数以百计的不同名称,比如《求生之路 2》(v2.2.0.1 Last Stand + DLCs + MULTi19)和《我的世界》(1.5.2 破解版 [Full Installer] [Online] [Server List]”。

不过托管在 Discord 上的共享文件,往往是单独的一个可执行文件,而通过 BT 打包来分发的方式,则更类似于传统的盗版途径(添加到一个压缩包中,包含一个文本文件、其它辅助文件、以及指向盗版网站的链接)。

在恶意软件夹带的可执行文件中,有一些还伪造了数字签名。但在证书签发机构这一栏,都是一长串的 18 个随机大写字母。

至于证书的有效期,大部分文件都是从下载首日开始算起的,到期日则是 2039 年 12 月 31 日。

恶意可执行文件的属性表,同样与恶意软件的真身不符。即便大多数都自诩为某款游戏、或生产力软件的全功能已授权副本的安装程序,但恶意软件制作者似乎并不在意这些细节。

如果在受害者计算机上顺利运行,用户能感知到的时间也非常短暂。在双击过后,它会弹出一条“缺乏 MSVCR100.dll”而无法启动程序的提示,并建议重装以修复该问题。

通过进程监视器,Sophos 安全研究人员发现它根本没有调用过 WindowsAPI 来查询这个动态链接库文件,意味着该恶意软件只是在虚张声势。

而且就算你的系统里已经有 MSVCR100.dll,这对话框还是会无脑地弹出。当然,Vigilante 也不是完全“没干正事”,比如它会在运行时检查能否建立出站网络连接。

可以的话,Vigilante 会尝试联系 1flchier[.]com 这个域名上的某个网址(注意并不是云存储服务提供商 1fichier 的克隆,第三个字符是 l 不是 I)。

讽刺的是,即使恶意软件会对这些请求使用相同的用户代理(User-Agent)字符串(Mozilla/5.0 Gecko/41.0 Firefox/41.0),但被其篡改的 Hosts 文件竟然也阻止了受害者访问合法的 1fichier 域名。

此外该恶意软件样本执行了两个 HTTP GET 请求,其一是搜索名为 ProcessHacker.jpg 文件(辅助可执行负载),其二是通过查询字符串,将运行的可执行文件的名称发送给网站运营者。

此外 ProcesserHacker 的二进制文件也表现出了一些有趣的特性,比如设置了
whoareyoutellmeandilltellyouwho 这个互斥锁,以确保只会运行自身的一份副本。

最后,如果创建了一个零字节的“7686789678967896789678”和“412412512512512”文件,并将之放到特定的 %PATH% 文件路径,Vigilante 就不会在启动时篡改 Hosts 文件。

相关推荐

YAML配置文件简介及使用(yaml 配置)

简介YAML是"YAMLAin'taMarkupLanguage"(YAML不是一种标记语言)的缩写。相比JSON格式的方便。...

教你如何解决最常见的58种网络故障排除方法

1.故障现象:网络适配器(网卡)设置与计算机资源有冲突。分析、排除:通过调整网卡资源中的IRQ和I/O值来避开与计算机其它资源的冲突。有些情况还需要通过设置主板的跳线来调整与其它资源的冲突。2.故障现...

一分钟带你了解服务器网卡(服务器网卡怎么用)

今天小编和大家聊一下服务器的网卡。什么是网卡?简单说网卡就是计算机与局域网互连的设备。计算机主要通过网卡接入网络。网卡又称为网络适配器或网络接口卡NIC(NetworkinterfaceCard)...

linux文件之ssh配置文件的含义与作用

ssh远程登录命令是操作系统(包括linux和window系统)下常用的操作命令,可以帮助用户,远程登录服务器系统,查看,操作系统相关信息。linux系统对于ssh命令有专门保存其相关配置的目录和文件...

Cilium 官方文档翻译 - IPAM(二)Kubernetes Host模式

KubernetesHostScopeciliumIPAM的kuberneteshost-scope模式通过选项ipam:kubernetes开启,将集群IP地址分配委托给每个独立的节点,并...

域名劫持跳转,域名劫持跳转的解决办法只需5步

简单来说,域名劫持就是把原本准备访问某网站的用户,在不知不觉中,劫持到仿冒的网站上,例如用户准备访问某家知名品牌的网上商店,黑客就可以通过域名劫持的手段,把其带到假的网上商店,同时收集用户的ID信息和...

Linux基本命令(linux基本命令总结)

...

Linux 磁盘和文件系统管理(linux磁盘管理fdisk)

1检测并确认新硬盘...

windows host文件怎么恢复?局域网访问全靠这些!

windowshost文件怎么恢复?windowshost文件是常用网址域名及其相应IP地址建立一个关联文件,通过这个host文件配置域名和IP的映射关系,以提高域名解析的速度,方便局域网用户使用...

Nginx配置文件详解与优化建议(nginx 配置详解)

1、概述今天来详解一下Nginx的配置文件,以及给出一些配置建议,希望能对大家有所帮助。...

Mac电脑hosts文件锁定,如何修改hosts文件权限

有时候我们需要修改hosts文件,但是网上很多教程都行不通,使用sudo命令也不行。其实有一个很简单的方法。打开终端命令行,使用如下命令即可:sudochflags-hvnoschg/etc/...

windows电脑如何修改hosts文件?(windows 修改hosts文件)

先来简单说下电脑host的作用hosts文件的作用:hosts文件是一个用于储存计算机网络中各节点信息的计算机文件;作用是将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”,当用户在浏览器中...

Vigilante恶意软件行为怪异:修改Hosts文件以阻止受害者访问盗版网站

Sophos刚刚报道了一款名叫Vigilante的恶意软件,但其行为却让许多受害者感到不解。与其它专注于偷密码、搞破坏、或勒索赎金的恶意软件不同,Vigilante会通过修改Hosts文件...

hosts文件无法修改几种现象和解决方法

第一种、hosts文件修改完不是直接保存而是弹出另存为窗口解决:1、右击hosts文件——属性——把“只读”前面勾去掉。第二种、打开hosts文件时提示“你没有权限打开该文件,请向文件的所有者或管理员...

hosts文件位置在哪里,教你hosts文件位置在哪里

Hosts是一个没有扩展名的系统文件,其基本作用就是将一些常用的网址域名与其对应的IP地址建立一个关联"数据库",当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从Hosts文件中寻找对应的I...

取消回复欢迎 发表评论: