«Vigilante Malware» bloquea los sitios de piratería de software

Destacado Vigilante Malware

Un nuevo malware no es nada de lo que esperamos encontrar en el malware. No busca robar sus datos o ganar dinero; busca evitar que las computadoras infectadas visiten sitios de piratería de software. Apodado el «Vigilante Malware», modifica el archivo HOSTS del sistema infectado.

Identificación del malware Vigilante

Andrew Brandt, investigador de SophosLabs escribió un artículo describiendo cómo su grupo identificó Vigilante Malware y cómo funciona. Además de modificar el archivo HOSTS, también descarga una segunda pieza: el ejecutable ProcessHacker.

Se puede bloquear un sitio web modificando el archivo HOSTS. A diferencia de otros programas maliciosos, el objetivo no es infectar la computadora de forma continua. Se puede quitar y no se volverá a infectar a menos que el programa se ejecute nuevamente.

Vigilante Malware Pirated Software

Se evita que los equipos infectados visiten sitios de piratería de software. El nombre del software que buscaba el usuario se envía a otro sitio web y se entrega una segunda carga útil. Esto agrega cientos de dominios web al archivo HOSTS.

Parte del Vigilante Malware estaba alojado en el servicio de chat del juego Discord. Bittorrent interrumpió otras copias que fueron nombradas como juegos populares y software de productividad y seguridad. Se cree que el malware se originó en una cuenta de intercambio de archivos de ThePirateBay.

Los archivos alojados en Discord parecen ser archivos ejecutables individuales, mientras que los archivos Bittorrent están empaquetados con otros archivos para parecerse a cómo se comparte a menudo el software pirateado.

Muchos de los ejecutables fueron firmados digitalmente por un creador de códigos falso. La firma «nombre» es solo una cadena aleatoria de 18 letras mayúsculas.

Ejecutable de Vigilante Malware

Brandt explicó: “Las hojas de propiedades de los ejecutables de malware no se alinean con lo que el nombre de archivo del malware hace que parezca. La mayoría de los archivos se representaban a sí mismos como instaladores de copias con licencia de juegos o software de productividad con todas las funciones, pero muchos de los archivos reales tienen nombres completamente diferentes en el campo Descripción del archivo, como ‘AVG remediation exe’, ‘BitLocker Drive Encryption , ‘o’ Herramienta de implementación de ActiveDirectory de Microsoft Office Multi-Msi ‘. «

Qué hace el malware Vigilante

Cuando se hace doble clic en Vigilante Malware, se activa un mensaje de error falso que dice: “El programa no puede iniciarse porque MSVCR100.dll no se encuentra en su computadora. Intente instalar el programa para solucionar el problema «.

Brandt escribió sobre su experiencia con el malware, “Usando Process Monitor, pude determinar que ni siquiera consulta la API de Windows para este archivo. Para llamar el engaño del malware, dejé una copia válida de esta DLL más antigua (que se comprueba) en la carpeta con el programa, pero el cuadro de diálogo falso aparece de todos modos «.

Tras la ejecución, el malware comprueba si puede establecer una conexión de red saliente. Intenta ponerse en contacto con un URI en el dominio 1flchier-dot-com.

Software de sitios web de Vigilante Malware

Los tres archivos incluidos con el instalador son inútiles y parece que solo se incluyen para dar la apariencia de archivos típicos compartidos de Bittorrent. Un archivo «data.dat» es una imagen JPEG de un bosque de pinos. Otro archivo tiene entre 90 kb y más de 200 kb e incluye principalmente «datos galimatizados con un nombre de archivo aleatorio y el sufijo de archivo .nfo».

Los primeros 1150 bytes del archivo .nfo contienen datos basura. Un carácter no imprimible sigue a esto, haciendo que todo lo que sigue no sea visible cuando se ve en un editor de texto. Este archivo también contiene un epíteto racial repetido 1000 veces. En particular, Brandt dijo que esto solo le dijo todo lo que necesitaba saber sobre el creador de Vigilante Malware.

Lo mejor de este malware es, por supuesto, que si no busca descargar software pirateado, no tiene nada de qué preocuparse.

Del mismo modo, siga leyendo para obtener información sobre el malware que se descubrió escondido dentro de los libros de texto pirateados. Además, lea nuestro artículo sobre los peligros del uso de software pirateado.