En sikkerhetsforsker ved Sophoslabs har funnet en skadevare som oppfører seg litt annerledes enn det som er vanlig. Vigilante, som uvesenet er blitt døpt, angriper nemlig piratkopister som laster ned det de tror er piratkopierte programmer eller spill, skriver nettstedet Ars Technica.
Når de kjører det de har lastet ned, sørger skadevaren for å sende piratkopistenes IP-adresse til en server som er kontrollert av angriperen.
I tillegg tukler den med hosts-filen på piratenes PC-er, slik at Piratebay.com og rundt 1000 andre av de mest besøkte piratnettstedene ikke lenger kan besøkes fra den infiserte PC-en.
En av de mest utbredte skadevarene til Windows har nå inntatt Mac
Spres på piratsider
Skadevaren er spredt nettopp på disse sidene, som ofte besøkes av nettpirater på jakt etter gratis, piratkopiert programvare, film og annet innhold.
Skadevaren er funnet gjemt i det som gir seg ut for å være spill, sikkerhetsprogrammer og annet – spredt i chattefora og via fildelingssystemet BitTorrent.
– En veldig uvanlig skadevare, påpeker Andrew Brandt i Sophoslabs. – Vanligvis ligger det bare ett motiv bak å spre skadevare av denne typen: Å stjele noe, enten det er passord, tastetrykk eller CPU-kapasitet som kan brukes til å utvinne bitcoins.
– Denne skadevaren gjør egentlig ingenting av det som skadevarespredere vanligvis er ute etter, sier han.
Ny skadevare-toppliste: Førsteplassen øker betydelig i Norge
Slik virker Vigilante
Det Vigilante faktisk gjør, er i all hovedsak to ting: Først bruker den en HTTP GET-forespørsel til å få tilsendt piratkopistens IP-adresse til sin webserver, 1flchier[.]com – som ikke har fått navnet sitt tilfeldig. 1flchier kan nemlig ved første øyekast se ut som 1fichier, som er navnet på en anerkjent skylagringstjeneste.
Deretter oppdaterer Vigilante-skadevaren hosts-filen på den infiserte pirat-PC-en. Hosts-filen oversetter ett eller flere vertsnavn til bestemte IP-adresser, og skadevaretuklingen med hosts-filen sørger for at om lag 1000 av de nettstedene som er mest brukt av kopi-pirater blir rutet til IP-adressen 127.0.0.1 – som utspekulert nok er den lokale verten, altså offerets egen PC. Dermed er det ikke lenger mulig å bruke den infiserte PC-en til å gå inn på piratnettstedene.
Det er ikke umiddelbart tydelig hvorfor PC-en er blokkert fra disse nettstedene, og den eneste måten å oppheve blokkeringen av piratnettstedene er ved å selv gå inn på hosts-filen, og fjerne de blokkerte nettstedene fra «127.0.0.1-listen». Dersom man gjør dette, er man også kvitt skadevaren. Den gjør ingenting for å bli værende på den infiserte PC-en.
Avslørte dårlig IT-sikkerhet i forskningssektoren: Slik brøt de seg inn i systemene
