haittaohjelmat on muuttanut tavoitettaan viime vuosina. Aikaisemmin tavoitteena oli yksinkertaisesti estää tietokoneiden toimintaa saamatta vastineeksi tuloja. Myöhemmin he etsivät salasanat ja tilitiedot ja sitten ransomware saapui, joka salaa käyttäjien tiedostot ja pyytää vastineeksi lunnaita. Tästä syystä on harvinaista löytää virus, joka yksinkertaisesti pyrkii ärsyttää käyttäjiä , ja aihe yhtä utelias kuin pir-cy .
Se on tapaus Järjestyksenvalvoja haittaohjelma, jonka on löytänyt ja kastanut SophosLabs johtava tutkija Andrew Brandt . Haittaohjelmat asennetaan, kun käyttäjät lataavat ja suorittavat ohjelmistoja tai pelejä, jotka he uskovat olevansa. Haittaohjelma ilmoittaa kuitenkin käyttäjän tiedostonimen ja IP-osoitteen hyökkääjän hallitsemalle palvelimelle.
Haittaohjelmat estävät pääsyn 1,000 XNUMX verkkosivustolle
Lisäksi haittaohjelmalla on toinen pieni yksityiskohta pääsyn estäminen enemmän kuin 1,000 sivua liittyen pir-cyyn. Tämän perusteella näyttää siltä, että ensi silmäyksellä haittaohjelman teki jokin pir-cy-järjestö, kuten ACE.
Vaikka suurin osa haittaohjelmista pyrkii varastamaan tietoja, kuten salasanoja, evästeitä, immateriaalioikeuksia tai näppäinpainalluksia, se on omistettu yrittämään pysäyttää käyttäjän hakkerointitoiminta, jolla ei pitäisi olla merkitystä haittaohjelmien luojille.
Jos haluat estää pääsyn verkkosivuille, haittaohjelma muuttaa Windows isäntätiedosto , ohjaamalla URL-osoitteet IP-osoitteeseen 127.0.0.1 , niin että kun käyttäjä yrittää käyttää niitä selaimella, verkko ei lataudu. Ainoa tapa korjata se on siirtyä arkistoon ja poistaa uudet merkinnät.
Tartunnan saaneet tiedostot Discord-altaissa ja torrenteissa
Haittaohjelmien jakelu näyttää olevan hyvin yleistä, missä Brandt on havainnut sen useissa tiedostoissa, jotka on jaettu Ristiriitaryhmät . Hän löysi sen myös torrent-verkot peleissä, tuottavuuden työkaluissa ja tietoturvaan liittyvissä ohjelmistoissa.
Analysoimalla haittaohjelmakoodi , löytyy myös muita erityispiirteitä. Esimerkiksi monet sen suoritettavista tiedostoista on allekirjoitettu digitaalisesti väärennetyllä allekirjoitustyökalulla. Nämä allekirjoitukset sisältävät 18 merkin merkkijonon pienillä ja isoilla kirjaimilla. Sertifikaattien voimassaoloaika alkaa tiedostojen saatavuuden päivästä ja niiden voimassaolo päättyy vuonna 2039.
Mielenkiintoista on, että kun koodi analysoidaan a hex-editori , suoritettavissa tiedostoissa on myös rasistinen viesti, joka toistetaan yli 1,000 kertaa. Tämä näyttää vaikuttavan tiedoston lopullisen hajautuksen muokkaamiseen ja tarjoaa paljon tietoa tyypistä, joka on pystynyt luomaan haittaohjelman ja sen periaatteet.
Vigilante-haittaohjelma on se etu, että sillä ei ole sisäänrakennettua pysyvyysmenetelmää, joten kun se on toiminut, se ei toimi uudelleen. Siksi sinun tarvitsee vain muokata hosts-tiedostoa palauttaaksesi sen normaaliksi. Varastettuja tietoja ei tietenkään voida palauttaa.
