Mokslininkas padarė vieną iš neįprastų kenkėjiškų programų žurnalų atradimų: įstrigusius failus, kurie lenkia atsisiuntėjus ir bando ateityje užkirsti kelią neteisėtam atsisiuntimui. Failai yra prieinami svetainėse, kuriose dažnai lankosi programinės įrangos piratai.

Vigilante, kaip „SophosLabs“ pagrindinis tyrėjas Andrew Brandtas Skambinkite kenkėjiškai programaiJie įdiegiami, kai aukos atsisiunčia ir vykdo, jų manymu, piratinę programinę įrangą ar žaidimus. Užkulisiuose kenkėjiška programa praneša užmušėjo valdomam serveriui sunaikinto failo pavadinimą ir aukų kompiuterių IP adresą. Paskutinis prisilietimas – „Vigilante“ bando modifikuoti aukų kompiuterius, kad jie nebegalėtų pasiekti thepiratebay.com ir iki 1000 kitų įsilaužimų svetainių.

Tai nėra tipiška kenkėjiška programa

„Tikrai neįprasta matyti kažką panašaus, nes dažniausiai kenkėjiškos programos yra tik vienas motyvas: daiktų vagystė“, – sakė Brandtas. parašė „Twitter“. „Nesvarbu, ar tai slaptažodžiai, klavišų paspaudimai, slapukai, IP, prieiga ar net kriptovaliutos kasybos procesorių ciklai, vagystė yra motyvas. Bet ne šiuo atveju. Tik keli iš šių pavyzdžių neatitiko įprastos kenkėjiškų nusikaltėlių motyvacijos. “

Kai aukos įvykdo Trojos failą, failo pavadinimas ir IP adresas HTTP GET užklausos forma siunčiami 1flchier, kurį kontroliuoja užpuolikas.[.]com, kurį galima supainioti su debesies saugyklos teikėju 1fichier (pirmoji raidė rašoma L, o trečioji vardo raidė vietoj I). Kenkėjiška programa failuose yra beveik tokia pati, išskyrus failų pavadinimus, kuriuos ji generuoja žiniatinklio užklausose.

„Vigilante“ ir toliau atnaujina užkrėstame kompiuteryje esantį failą, kuris neleidžia jam prisijungti prie „The Pirate Bay“ ir kitų interneto vietų, kurias, kaip žinoma, naudoja piratine programine įranga. Tiksliau, kenkėjiška programa atnaujinama šeimininkai, failas, kuris susieja vieną ar daugiau domeno adresų su atskirais IP adresais. Kaip parodyta žemiau esančiame paveikslėlyje, kenkėjiška programa „thepiratebay.com“ susieja su specialios paskirties IP adresu 127.0.0.1, dažnai vadinamu „localhost“ arba „backback“ adresu, kurį kompiuteriai naudoja nustatydami tikrąjį kitų sistemų IP adresą.

Priskirdama domenus „localhost“, kenkėjiška programa užtikrina, kad jūsų kompiuteris negali pasiekti svetainių. Vienintelis būdas pakeisti draudimą yra redaguoti kompiuterio failą, kad būtų pašalinti įrašai.

Brandtas rado kai kuriuos Trojos arklius, kurie slypi programinės įrangos paketuose, esančiuose „Discord“ talpinamoje pokalbių tarnyboje. Jis pastebėjo, kad kiti maskuojasi kaip populiarūs žaidimai, produktyvumo įrankiai ir saugos produktai, kuriuos galima įsigyti per „BitTorrent“.

Yra ir kitų anomalijų. Daugelis „Trojan“ vykdomųjų failų yra pasirašyti skaitmeniniu būdu, naudojant padirbto kodo pasirašymo įrankį. Parašuose yra atsitiktinė 18 simbolių eilutė didžiosiomis ir mažosiomis raidėmis. Sertifikato galiojimo laikas prasidėjo tą dieną, kai failai tapo prieinami, ir jo galiojimo laikas baigsis 2039 m. Be to, vykdomųjų failų ypatybės neatitinka failo pavadinimo.

Žiūrint per hex redaktorius, vykdomieji failai taip pat turi elementinį būdvardį, pakartotą daugiau nei 1000 kartų, po kurio seka didelis, atsitiktinio dydžio abėcėlės simbolių blokas.

„Archyvai gali būti tiesiog prikimšti atsitiktinio ilgio netikslinių failų, kad būtų galima pakeisti archyvo maišos vertę“, – rašė Brandtas. „Prikimšdamas rasinius įžeidimus, man pasakė viską, ką turėjau žinoti apie jo autorių.”

„Vigilante“ neturi fiksavimo būdo, o tai reiškia, kad jis neturi galimybės išlikti fiksuotas. Tai reiškia, kad užkrėstiems žmonėms reikia tik redaguoti savo „Hosts“ failą, kad jį dezinfekuotų. „SophosLabs“ siūlo atsiskaitymo rodiklius Čia.