Akzeptieren

Die Cookies helfen mir bei der Bereitstellung der Inhalte und Dienste. Durch die Nutzung meines Blogs erklärst du dich damit einverstanden, dass ich Cookies setzen darf.

»: Thanks for coming!
       
       
Aktuelle Seite: News

Mittwoch 23. 06. 2021 - l+f: Malware kämpft gegen Software-Piraterie



Als einen der seltsamsten Fälle, der ihm seit langem untergekommen ist, hat ein Malware-Analyst von Sophos den Trojaner "Vigilante" – englisch für Bürgerwehr – bezeichnet. Denn anders als die meisten seiner Verwandten hat Vigilante wohl nichts Böses im Sinn, sondern engangiert sich gegen Raubkopiererei. Die Methoden des selbsternannten Vorzeigebürgers sind allerdings ziemlich übergriffig: Durch Manipulationen der hosts-Datei versperrt er Windows-Nutzern den Zugriff auf Filesharing-Plattformen wie beispielsweise The Pirate Bay.

Fertig machen zum (hosts) Entern
Als gecrackte Software getarnt, nutzt Vigilante als Verbreitungswege etwa Discord-Server und das BitTorrent-Protokoll. Nach Einschätzung des Sophos-Forschers dienen ihm hunderte verschiedene Software-Namen als Tarnung. Um schreibend auf hosts zuzugreifen, muss Vigilante auf Windows 10-Systemen im Normalfall an der User Account Control (UAC) vorbei; der installierende Benutzer muss also sein Okay zur Abfrage: "Möchten Sie zulassen, dass durch diese App (...) Änderungen an Ihrem PC vorgenommen werden?" geben.



Unklare Motive, keine bleibenden Schäden
Was Vigilante bezweckt, ist bislang völlig unklar. Sophos Labs ausführliche Analyse nennt noch weitere Details zu dem ungewöhnlichen Schädling: Unter anderem lädt er ein weiteres Schadcode-Modul nach und übermittelt den Dateinamen des Programms, als das er sich jeweils tarnt, nebst der IP-Adresse des Opfers an einen Server der Angreifer. Denkbar wären etwa anschließende Erpressungsversuche auf Basis dieser Informationen. Der besagte Server ist laut Sophos allerdings derzeit wieder offline.

Insgesamt lässt sich aus der Analyse ableiten, dass Vigilante nebst nachgeladenem Code wohl keine Persistenz auf den infizierten Rechnern anstrebt: Die Malware wird offenbar nur einmal ausgeführt und zum Bereinigen betroffener Systeme reicht das manuelle Löschen von hosts-Einträgen und Schadcode-Download aus.
0 Kommentare




« [ 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 ] »

S-Design   A1-VBcode   VB Archiv  VB-Helper   D3n1s.Net   BOT-Trap.de