Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Вредоносная программа Oddball блокирует доступ к пиратскому ПО (http://txgate.io:443/showthread.php?t=14584)

Artifact 02-09-2025 01:34 PM

Вредоносная программа модифицирует файл HOSTS на зараженной системе.
https://www.securitylab.ru/upload/ib...f4617b247f.jpg
Большинство операторов вредоносных программ преследуют какую-то выгоду. Однако исследователи в области киберезопасности из компании Sophos обнаружили уникальное вредоносное ПО Oddball, единственной целью которого является предотвратить посещение web-сайтов, предлагающих пиратское программное обеспечение.
Вредоносная программа изменяет файл HOSTS на зараженной системе, используя «грубый, но эффективный метод предотвращения доступа компьютера к web-адресу». Файл HOSTS является неотъемлемой частью ОС Windows и используется для сопоставления IP-адресов с именами хостов или доменными именами. Таким образом, он действует в качестве локальной службы DNS.
Поскольку вредоносная программа не обеспечивает персистентность, любой пользователь может легко отменить ее эффект на локальном компьютере, удалив затронутые записи после их добавления в файл HOSTS.
Злоумышленники использовали различные средства для распространения вредоносного ПО и привлечения внимания людей, которые склонны использовать популярные торрент-сайты для загрузки пиратского ПО. Один из методов распространения заключался в использовании мессенджера Discord. Прочие копии ПО распространялись через Bittorrent и были замаскированы под популярные игры, инструменты повышения производительности и даже продукты безопасности.
После запуска исполняемого файла программное обеспечение выдает «ложное сообщение об ошибке», информирующее пользователя о невозможности запуститься из-за отсутствия файла MSVCR100.dll. Вредоносная программа также проверяет зараженную систему на предмет возможности установить исходящее сетевое соединение, и, если это возможно, пытается связаться с URI в домене 1flchier[.]com. Предположительно, домен представляет собой копию поставщика облачного хранилища 1fichier, использующий букву «L» в качестве третьего символа вместо «I».
При установлении контакта с сайтом ПО загружает исполняемый файл ProcessHacker.jpg, модифицирующий файл HOST и осуществляющий блокировку доступа к пиратскому ПО.


All times are GMT. The time now is 03:00 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.