SIKKERHET

Denne skadevaren avslører og angriper nettpirater

Skadevaren stenger ofrene ute fra flere hundre piratnettsteder.

Vigilante-skadevaren angriper PCene til nettpirater, og hindrer dem i å gå inn på rundt 1000 av de nettstedene som er hyppigst besøkt av piratkopister.
Vigilante-skadevaren angriper PCene til nettpirater, og hindrer dem i å gå inn på rundt 1000 av de nettstedene som er hyppigst besøkt av piratkopister. Foto: Sophos.com
20. juni 2021 - 15:00

En sikkerhetsforsker ved Sophoslabs har funnet en skadevare som oppfører seg litt annerledes enn det som er vanlig. Vigilante, som uvesenet er blitt døpt, angriper nemlig piratkopister som laster ned det de tror er piratkopierte programmer eller spill, skriver nettstedet Ars Technica.

Når de kjører det de har lastet ned, sørger skadevaren for å sende piratkopistenes IP-adresse til en server som er kontrollert av angriperen.

I tillegg tukler den med hosts-filen på piratenes PC-er, slik at Piratebay.com og rundt 1000 andre av de mest besøkte piratnettstedene ikke lenger kan besøkes fra den infiserte PC-en.

Mac-plattformen har fått en skadevare-nykommer i form av Xloader, rapporterer Checkpoint.
Les også

En av de mest utbredte skadevarene til Windows har nå inntatt Mac

Spres på piratsider

Skadevaren er spredt nettopp på disse sidene, som ofte besøkes av nettpirater på jakt etter gratis, piratkopiert programvare, film og annet innhold.

Skadevaren er funnet gjemt i det som gir seg ut for å være spill, sikkerhetsprogrammer og annet – spredt i chattefora og via fildelingssystemet BitTorrent.

– En veldig uvanlig skadevare, påpeker Andrew Brandt i Sophoslabs. – Vanligvis ligger det bare ett motiv bak å spre skadevare av denne typen: Å stjele noe, enten det er passord, tastetrykk eller CPU-kapasitet som kan brukes til å utvinne bitcoins.

– Denne skadevaren gjør egentlig ingenting av det som skadevarespredere vanligvis er ute etter, sier han.

Om du har lyst kan du bygge denne PCen selv, og nå er den endelig til salgs i Norden – bare ikke i Norge.
Les også

Endelig Framework-bærbar i Norden – bare ikke i Norge

Slik virker Vigilante

Det Vigilante faktisk gjør, er i all hovedsak to ting: Først bruker den en HTTP GET-forespørsel til å få tilsendt piratkopistens IP-adresse til sin webserver, 1flchier[.]com – som ikke har fått navnet sitt tilfeldig. 1flchier kan nemlig ved første øyekast se ut som 1fichier, som er navnet på en anerkjent skylagringstjeneste.

Deretter oppdaterer Vigilante-skadevaren hosts-filen på den infiserte pirat-PC-en. Hosts-filen oversetter ett eller flere vertsnavn til bestemte IP-adresser, og skadevaretuklingen med hosts-filen sørger for at om lag 1000 av de nettstedene som er mest brukt av kopi-pirater blir rutet til IP-adressen 127.0.0.1 – som utspekulert nok er den lokale verten, altså offerets egen PC. Dermed er det ikke lenger mulig å bruke den infiserte PC-en til å gå inn på piratnettstedene.

Det er ikke umiddelbart tydelig hvorfor PC-en er blokkert fra disse nettstedene, og den eneste måten å oppheve blokkeringen av piratnettstedene er ved å selv gå inn på hosts-filen, og fjerne de blokkerte nettstedene fra «127.0.0.1-listen». Dersom man gjør dette, er man også kvitt skadevaren. Den gjør ingenting for å bli værende på den infiserte PC-en.

Kronikken er skrevet av Bjørn Tore Hellesøy som privatperson. Bildet er fra kommandosentralen til Nasjonalt cybersikkerhetssenter (NCSC), som overvåker digitale angrep og trusler mot norske interesser.
Les også

Det er spesielt ein ting som skurrar i nasjonale trusselvurderingar

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.