Вредоносное ПО предотвращает посещение пиратских ресурсов

Эндрю Брандт и его коллеги из британской компании Sophos, занимающейся кибербезопасностью, сообщают о странно ведущей себя вредоносной программе, которая не позволяет своей жертве посещать интернет-ресурсы, размещающие пиратский контент.

"Один из самых странных случаев, которые я видел за последнее время", - так определяет кампания Брандта программу, которая, хотя и является нежелательной, не может быть строго названа "вредоносной", учитывая, что она не используется для кражи информации, извлечения данных или проведения диверсий в системе, например, для шифрования файлов. После попадания в систему он вносит изменения в файл HOSTS в Windows, чтобы жертва не могла посещать пиратские сайты. Файл добавляет в HOSTS от нескольких сотен до 1000 адресов страниц, а также отправляет на удаленный сервер название пиратского программного обеспечения, которое пользователь хотел загрузить.

Расследование Брандта показало, что вредоносная программа была замаскирована под... пиратское программное обеспечение. Конечно. Чаще всего загружается из Discord, носит название популярных программ, инструментов производительности и даже продуктов безопасности. Первоисточником "странной вредоносной программы", по-видимому, является определенный аккаунт на Pirate Bay, добавляет Брандт. Когда программа выполняется, владелец системы получает сообщение об ошибке и отсутствующую библиотеку. Жертва думает, что файл поврежден, и в то же время он начинает выполнять свою миссию, подключаясь к серверу своих создателей. "Лекарство" здесь простое - нужно изменить записи HOSTS на их первоначальное состояние.