Вредоносная программа, распространяющаяся через Discord и Bittorrent, модифицирует файл Windows hosts и таким образом блокирует доступ к тысяче пиратских сайтов.
Мнимые игры
Через файлообменные ресурсы распространяется странный вредонос, который модифицирует на атакованных компьютерах файл Windows hosts и за счет этого блокирует доступ к пиратским сайтам вроде Pirate Bay.
Характерно, что сам по себе вредонос выдается за пиратские копии игр или других программ. Как пишут эксперты компании Sophos, вредоносная программа мимикрирует под игры Left 4 Dead 2, Minecraft и др., причем с наименованиями файлов, характерными как раз для пиратских ресурсов. Например, Left 4 Dead 2 (v2.2.0.1 Last Stand + DLCs + MULTi19) или Minecraft 1.5.2 Cracked [Full Installer][Online][Server List]. Также попадаются поддельные копии пакетов Microsoft Visual Studio Enterpries, Office (предположительно, Microsoft Office), Slacker и несколько антивирусов, в том числе AVG.
В большинстве случаев распространение производится в виде одного исполняемого файла .exe. По идее, это само по себе должно вызывать подозрения, хотя иногда пираты действительно распространяют краденые программы в виде самораспаковывающихся архивов.
Многие из подделок хостились на файлообменниках Discord (где и правда нередко встречаются пиратские программы); также наблюдалось распространение вредоноса через Bittorrent.
Неразбериха как особая примета
В некоторых случаях исполняемые файлы были подписаны поддельным цифровым сертификатом, у которого совпадают значения источника и получателя (в обоих случаях — бессмысленный набор символов).
Более того, если просмотреть свойства (Properties) скачанного поддельного файла и зайти во вкладку «Подробно» (Details), то выясняется, что там имя файла часто не совпадает с его внешним названием. Например, внешнее наименование выдает файл за копию игры AmongUs, а в разделе «Подробно» он обозначен как программа Bit Locker Drive Encryption.
Как отмечено в публикации Sophos, создателей вредоноса эта неразбериха совершенно не смущала.
Алгоритм работы
После запуска вредонос выводит поддельное сообщение об ошибке, извещая пользователя об отсутствии файла MSVCR100.dll, даже если такой файл в системе имеется. Кроме того, вредонос пытается установить соединение с внешним ресурсом, скачивает с него дополнительную программу и модифицирует файл hosts. В него прописываются около тысячи доменов различных пиратских ресурсов и им присваивается значение 127.0.0.1 — то есть, любой запрос к этим доменам адресуется тому же компьютеру, с которого происходит обращение. Это грубый, но действенный способ.
Как отметил автор публикации Sophos, исследователь Эндрю Брандт (Andrew Brandt), еще десять лет назад он сталкивался с семейством вредоносов, выполнявшим практически тот же самый набор действий, что и новая напасть.
Он отметил также, что в некоторые копии вредоноса встроен выключатель: если в зараженной системе обнаруживаются два файла с именами, состоящими из последовательности цифр 7686789678967896789678 и 412412512512512, то программа сворачивает деятельность. Создание пустых файлов с такими именами тоже работает как страховка против срабатывания вредоноса.
Брандт особенно отметил, что код вредоноса в HEX содержит многократное повторение расистского ругательства. Это, по словам эксперта, сказало ему всё, что он хотел знать о создателе вредоносной программы.
«Подобная программа может разве что доставить несколько неприятных минут технически неподготовленному любителю пиратского ПО, — считает Алексей Водясов, технический директор компании SEC Consult Services. — Знаток ИТ сможет ее довольно быстро нейтрализовать. В целом складывается впечатление, что это пробный вариант, как будто кто-то тренировался в написании вредоносного ПО, заодно делая “доброе дело”. Но ничего доброго тут нет. Что же касается пиратских сайтов, то с них ничего качать не рекомендуется в принципе: под видом взломанных копий коммерческих программ там подчас встречаются куда более небезобидные вредоносы».
