22/06/21
Большинство операторов вредоносных программ преследуют какую-то выгоду. Однако исследователи в области киберезопасности из компании Sophos обнаружили уникальное вредоносное ПО Oddball, единственной целью которого является предотвратить посещение web-сайтов, предлагающих пиратское программное обеспечение.
Вредоносная программа изменяет файл HOSTS на зараженной системе, используя «грубый, но эффективный метод предотвращения доступа компьютера к web-адресу». Файл HOSTS является неотъемлемой частью ОС Windows и используется для сопоставления IP-адресов с именами хостов или доменными именами. Таким образом, он действует в качестве локальной службы DNS.
Поскольку вредоносная программа не обеспечивает персистентность, любой пользователь может легко отменить ее эффект на локальном компьютере, удалив затронутые записи после их добавления в файл HOSTS.
Злоумышленники использовали различные средства для распространения вредоносного ПО и привлечения внимания людей, которые склонны использовать популярные торрент-сайты для загрузки пиратского ПО. Один из методов распространения заключался в использовании мессенджера Discord. Прочие копии ПО распространялись через Bittorrent и были замаскированы под популярные игры, инструменты повышения производительности и даже продукты безопасности.
После запуска исполняемого файла программное обеспечение выдает «ложное сообщение об ошибке», информирующее пользователя о невозможности запуститься из-за отсутствия файла MSVCR100.dll. Вредоносная программа также проверяет зараженную систему на предмет возможности установить исходящее сетевое соединение, и, если это возможно, пытается связаться с URI в домене 1flchier[.]com. Предположительно, домен представляет собой копию поставщика облачного хранилища 1fichier, использующий букву «L» в качестве третьего символа вместо «I».
При установлении контакта с сайтом ПО загружает исполняемый файл ProcessHacker.jpg, модифицирующий файл HOST и осуществляющий блокировку доступа к пиратскому ПО.
