新发现的治安维护者恶意软件的软件盗版和阻止他们

一名研究人员在恶意软件的历史记录中发现了一个更不寻常的发现:带有陷阱的文件可以泄露下载者的信息，并试图阻止未来未经授权的下载。这些文件可以在软件盗版者经常光顾的网站上找到。

sophoslab首席研究员安德鲁·勃兰特是治安维持者调用恶意软件，获取当受害者下载并执行他们认为是盗版软件或游戏时安装的。在幕后，恶意软件将被执行到攻击者控制的服务器的文件名以及受害者计算机的IP地址。作为一个整理触摸，Vigilante试图修改受害者的计算机，因此他们无法再访问ThePirateBay.com和多达1000个其他海盗网站。

不是你的典型恶意软件

“看到这样的东西真的很不寻常，因为大多数恶意软件背后通常只有一个动机:窃取东西，”Brandt在推特上写道．“无论是密码、击键、cookie、知识产权、访问权限，甚至是挖掘加密货币的CPU周期，盗窃都是动机。但这次不是。这些样本实际上只做了几件事，没有一件符合恶意软件罪犯的典型动机。”

一旦受害者执行了被木马化的文件，文件名和IP地址将以HTTP GET请求的形式发送给攻击者控制的1flchier[。com很容易与云存储提供商1fichier混淆(前者的名字中第三个字符是L，而不是I)。除了在网络请求中生成的文件名外，文件中的恶意软件基本相同。

Vigilante继续更新受感染的计算机上的文件，该文件可防止它连接到海盗托架和其他已知的互联网目的地被人们交易盗版软件使用。具体而言，恶意软件更新主机，一个将一个或多个域地址与不同的IP地址配对的文件。如下图所示，恶意软件将thepiratebay.com和127.0.0.1配对，这是一个特殊用途的IP地址，通常被称为本地主机或环回地址，计算机使用它来识别其他系统的真实IP地址。

通过将域名映射到本地主机，恶意软件确保计算机不能再访问这些网站。扭转阻塞的唯一方法是编辑Hosts文件以删除条目。

Brandt发现了一些潜伏在discord托管聊天服务的软件包中的木马。他在BitTorrent上发现了其他伪装成流行游戏、生产力工具和安全产品的软件。

还有其他奇怪的事情。许多被木马攻击的可执行文件都是使用伪代码签名工具进行数字签名的。签名由随机生成的18个大写字母和小写字母组成。该证书从文件可用之日起生效，将于2039年到期。此外，可执行文件的属性表与文件名不一致。

当透过十六进制编辑器，可执行文件还包含一个重复超过1000次的种族称谓，后面跟着一个大的、随机大小的字母字符块。

Brandt写道:“用随机长度的无目的文件填充存档可能只是为了修改存档的哈希值。”“用种族主义的污言秽语填充它，让我知道了关于它的创造者的一切。”

Vigilante没有持久性方法，这意味着它没有办法保持安装。这意味着被感染的人只需要编辑他们的Hosts文件就可以进行消毒。sophoslab提供了妥协的指标在这里．