C’est le cas des logiciels malveillants Vigilant, découvert et baptisé par l’enquêteur en chef de SophosLabs, André Brandt. Les logiciels malveillants sont installés lorsque les utilisateurs téléchargent et exécutent ce qu’ils pensent être des logiciels ou des jeux piratés. Cependant, le malware signale le nom de fichier et l’adresse IP de l’utilisateur à un serveur contrôlé par l’attaquant.
Un logiciel malveillant bloque l’accès à 1 000 sites Web pirates
De plus, un autre petit détail du malware est bloquer l’accès Terminer 1 000 pages liées au piratagecomprenant La baie des pirates. Avec cela, il semble qu’à première vue, le malware ait été créé par une association anti-piratage telle que ACE.
Ainsi, alors que la plupart des logiciels malveillants cherchent à voler des données telles que des mots de passe, des cookies, de la propriété intellectuelle ou des frappes au clavier, ils se consacrent à essayer d’arrêter l’activité de piratage de l’utilisateur, ce qui ne devrait pas avoir d’importance pour les créateurs de logiciels malveillants.
Pour bloquer l’accès aux pages Web, le malware modifier le fichier d’hôtes Windows, redirigeant les URL vers l’IP 127.0.0.1, de sorte que lorsque l’utilisateur essaie d’y accéder à partir du navigateur, le Web ne se charge pas. La seule façon de le réparer est d’aller dans l’archive et de supprimer les nouvelles entrées.
Fichiers infectés dans les pools et torrents Discord
La distribution du malware semble être très répandue, où Brandt l’a détecté dans plusieurs fichiers partagés dans Groupes Discord. Il l’a également découvert dans réseaux torrents dans les jeux, les outils de productivité et les logiciels liés à la sécurité.
Analyser le code malveillant il y a aussi d’autres particularités. Par exemple, bon nombre de ses exécutables sont signés numériquement avec un faux outil de signature. Ces signatures contiennent une chaîne de 18 caractères en minuscules et majuscules. La validité des certificats commence le jour où les fichiers sont disponibles et ils expirent en 2039.
Fait intéressant, lorsque le code est analysé avec un éditeur hexadécimal, les exécutables comportent également un message raciste qui est répété plus de 1 000 fois. Cela semble être fait pour modifier le hachage final du fichier et fournit de nombreuses informations sur le type de personne qui a pu créer le malware et ses principes.
le Alerte malveillant il a l’avantage de ne pas avoir de méthode de persistance intégrée, donc une fois qu’il a agi, il n’agit plus. Par conséquent, tout ce que vous avez à faire est de modifier le fichier hosts pour le ramener à la normale. Bien entendu, les données volées ne peuvent pas être récupérées.