在海盗和受害者的道德指南针问题上，一种带有奇怪意图的恶意软件在野外被发现。

周四，Sophos的研究人员说他们已经发现https://news.sophos.com/en-us/2021/06/17/vigilante-antipiracy-malware/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>不遵循典型行为模式的恶意软件活动：渗透系统、窃取信息、进行银行欺诈，以此类推——相反，恶意软件“阻止受感染用户访问大量专门针对软件盗版的网站” 

分发方式各不相同：一些样本被掩埋在档案中，伪装成通过Discord聊天服务推广的软件包，而另一些则直接通过torrent分发。 

据首席研究员安德鲁布兰特（Andrew Brandt）称，创造者使用了众多软件品牌、游戏、生产工具和网络安全解决方案的名称来隐藏恶意软件，因此似乎针对的是从游戏玩家到可能不想购买软件许可证的专业人士等所有人。 

在分发盗版软件时，恶意软件包以常用格式命名，例如“Minecraft 1.5.2破解[完整安装程序][在线][服务器列表]”。文件被标记为从海盗湾上传。 

“看起来托管在Discord文件共享上的文件往往是单独的可执行文件，”Brandt说通过Bittorrent分发的软件的打包方式与通常使用该协议共享盗版软件的方式更为相似：添加到压缩文件中，该文件还包含文本文件和其他辅助文件，以及老式的Internet快捷方式文件。“

如果双击恶意软件的可执行文件，弹出一条消息，声称受害者的系统丢失了一个重要的.DLL文件。在后台，恶意软件正在从外部网站获取一个名为ProcessHacker的二级负载。此有效负载负责修改目标计算机上的HOSTS文件。 

恶意软件的盗版网站拦截过程还很初级，因为它只是简单地添加了几百到1000多个web域的列表，并将它们指向本地主机地址。奇怪的是，一些被列入阻止名单的网站与盗版无关。

然而，在现代计算机上，修改主机文件可能需要特权，而不是每个示例触发的Windows系统都需要特权来升级恶意软件的特权。当此升级未发生时，主机文件修改失败。 

“修改HOSTS文件是阻止计算机访问网址的一种粗糙但有效的方法，”Sophos说这是粗糙的，因为，虽然它的工作，恶意软件没有持久性机制。任何人都可以在将条目添加到HOSTS文件后删除它们。“

在一些恶意软件包中，操作员添加了与安装程序捆绑在一起的文件，这可能会提高其作为盗版软件包的合法性。这些文件大多是垃圾代码和垃圾图像，尽管一个常见的.nfo文件包含种族歧视的污点。 

“从表面上看，对手的目标和工具表明，这可能是某种粗略编制的反海盗义务行动，”布兰特评论说然而，攻击者庞大的潜在目标受众——从游戏玩家到商业专业人士——再加上过时的和新的工具、TTP以及被恶意软件屏蔽的奇怪网站列表，所有这些都使得这个操作的最终目的有点模糊。”

尽管恶意软件很粗糙，对用户没有重大影响——除非他们是破解软件或盗版内容的粉丝——如果主机文件被修改，Sophos说可以通过以管理员身份运行Notepad来清除，打开c:\Windows\System32\Drivers\etc\hosts并删除引用

以前及相关报道https://www.zdnet.com/article/leaders-of-notorious-team-xecuter-game-piracy-group-arrested/“target=”\u blank“>臭名昭著的Xecuter游戏盗版团队的领导者，自制啤酒集团被捕https://www.zdnet.com/article/philips-takes-on-cam-piracy-with-new-ambient-light-technology/“target=”\u blank“>飞利浦利用新的环境光技术来对付电影盗版href=“https://www.zdnet.com/article/this-data-and-password-stealing-malware-is-spreading-in-an-unusual-way/“target=”\u blank“>此窃取数据和密码的恶意软件正在以一种不寻常的方式传播

---

有提示吗？通过WhatsApp安全联系，电话：+447713 025 499，或超过Keybase:charlie0

Best anti-Prime Day deals:沃尔玛和百思买的销售额

facebook奖励30美元，000悬赏，用于利用Instagram私有内容的漏洞，通过注册，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u空白“rel=”noopener noreferrer