Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Вредоносная программа Oddball блокирует доступ к пиратскому ПО

22/06/21

aaaaarrghhhh in jail-1Большинство операторов вредоносных программ преследуют какую-то выгоду. Однако исследователи в области киберезопасности из компании Sophos обнаружили уникальное вредоносное ПО Oddball, единственной целью которого является предотвратить посещение web-сайтов, предлагающих пиратское программное обеспечение.

Вредоносная программа изменяет файл HOSTS на зараженной системе, используя «грубый, но эффективный метод предотвращения доступа компьютера к web-адресу». Файл HOSTS является неотъемлемой частью ОС Windows и используется для сопоставления IP-адресов с именами хостов или доменными именами. Таким образом, он действует в качестве локальной службы DNS.

Поскольку вредоносная программа не обеспечивает персистентность, любой пользователь может легко отменить ее эффект на локальном компьютере, удалив затронутые записи после их добавления в файл HOSTS.

Злоумышленники использовали различные средства для распространения вредоносного ПО и привлечения внимания людей, которые склонны использовать популярные торрент-сайты для загрузки пиратского ПО. Один из методов распространения заключался в использовании мессенджера Discord. Прочие копии ПО распространялись через Bittorrent и были замаскированы под популярные игры, инструменты повышения производительности и даже продукты безопасности.

После запуска исполняемого файла программное обеспечение выдает «ложное сообщение об ошибке», информирующее пользователя о невозможности запуститься из-за отсутствия файла MSVCR100.dll. Вредоносная программа также проверяет зараженную систему на предмет возможности установить исходящее сетевое соединение, и, если это возможно, пытается связаться с URI в домене 1flchier[.]com. Предположительно, домен представляет собой копию поставщика облачного хранилища 1fichier, использующий букву «L» в качестве третьего символа вместо «I».

При установлении контакта с сайтом ПО загружает исполняемый файл ProcessHacker.jpg, модифицирующий файл HOST и осуществляющий блокировку доступа к пиратскому ПО.

Темы:ОтрасльторрентыSophosпиратское ПО
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...