Спри се

Тайнственият злонамерен софтуер блокира Пиратския залив и други пиратски сайтове

От няколко години притежателите на авторски права предупреждават, че хората, които използват пиратски сайтове, рискуват да попаднат на злонамерен софтуер и друго злонамерено съдържание.

Тези предупреждения имат за цел да разубедят хората да използват тези сайтове. Новият тип зловреден софтуер обаче вече прави това по по-директен начин.

В статия, публикувана тази седмица, британската охранителна компания Sophos акценти кампания за зловреден софтуер, която активно се насочва към пиратите. Не за да навредят на компютрите им, а за да им блокират достъпа до пиратски сайтове в бъдеще.

Преоблечен като пиратски софтуер

Въпросният зловреден софтуер е маскиран като пиратски софтуер и се споделя на обикновени торент сайтове и на други места. Пакетите изглеждат като редовни „напукани“ версии, но тези, които се опитват да инсталират софтуера, са изненадани.

Вместо да инсталира взломна версия на софтуера, който потребителите търсят, зловредният софтуер задейства фалшиво съобщение за грешка, в което се споменава, че липсва DLL файл.

„Програмата не може да се стартира, тъй като на вашия компютър липсва MSVCR100.dll. Опитайте да преинсталирате програмата, за да разрешите този проблем “, гласи грешката, докато се изпълнява зловредният софтуер във фонов режим.

пиратска грешка

След като бъде изпълнен, зловредният софтуер се опитва да се свърже с 1flchier[dot]com домейн, който е вариант за печатна грешка на сайта за споделяне на файлове 1fichier. При успех той изтегля нов полезен товар, озаглавен „ProcessHacker.jpg“, докато споделя името на файла на пиратския софтуер, който жертвата е планирала да използва.

Не е ясно дали тези данни се използват за нещо, но в момента зловредният домейн вече не приема заявки. Изглежда обаче, че зловредният софтуер се използва за няколко месеца поне това може да е било различно в миналото.

Блокиране на стотици пиратски сайтове

Там, където зловредният софтуер наистина блести, е когато той активно модифицира файла „хостове“ на компютрите на потребителите. Този файл може да се използва за отмяна на начина на разрешаване на имената на домейни. Атакуващите го използват, за да свържат няколкостотин с над хиляда пиратски имена на домейни към адреса на localhost, 127.0.0.1.

Тази промяна ефективно блокира достъпа на жертвите до сайтовете, което включва The Pirate Bay и много от неговите прокси.

Интересното е, че не за първи път виждаме злонамерен софтуер да прави това. Преди повече от десетилетие подобна заплаха беше широко разпространена в торент сайтове. Това също модифицира „файла с хостове“, за да блокира The Pirate Bay. В допълнение, той също така задейства изскачащи прозорци, които възпроизвеждат звуков файл, казвайки, че „изтеглянето е грешно“.

Sophos няма представа кой стои зад зловредния софтуер, нито ние. Въпреки че може да е интересна стратегия за борба с пиратството, малко вероятно е зловредният софтуер да идва от този ъгъл. Толкова лесно би могло да дойде от съперничещ пиратски сайт, който не е в списъка с блокирани.

Лесно фиксиран

Във всеки случай Sophos съобщава, че неговият софтуер блокира заплахата, така че потребителите му са в безопасност. Също така хората, чиито компютри са компрометирани, също могат лесно да решат проблема сами.

„Потребителите, които по невнимание са стартирали един от тези файлове, могат да изчистят своя HOSTS файл ръчно, като стартират копие на Notepad повишен (като администратор) и модифицират файла в c: Windows System32 Drivers etc hosts, за да премахнат всички редовете, които започват с „127.0.0.1“ и препращат към различните сайтове ThePirateBay (и други), “пише Софос.

Публикациите се превеждат автоматично с google translate

Източник: torrentfreak.com