海賊版サイトの接続を切断してくれるありがたいマルウェア?

このサイトを検索 | Search this site
kaizokuFlag.png


ゲームの海賊版のフリをして、PCのHostsを書き換えるマルウェア「Vigilante」が見つかりました。

そのマルウェアはHostsに海賊版サイトのIPアドレスを追記して、localhostにループバックさせるものだそうです。

その結果、「Vigilante」に感染したPCは海賊版サイトにアクセスできなくなります。

いいことしてるように見えますね...(謎)


Vigilante

出典:Vigilante malware rats out software pirates while blocking ThePirateBay – Sophos News

[Vigilanteの振る舞い]
  1. BitTorrentで配布されている
  2. ゲームソフトのフリをする
  3. 「MSVCR100.dll」が見つからないというメッセージを表示してバックグラウンドで動作する
  4. ネット接続可能な場合、1flchier[.]comにアクセスを試みる
  5. User-Agent「Mozilla/5.0 Gecko/41.0 Firefox/41.0」を使用する
  6. ProcessHacker.jpgをダウンロードしようと試みる
  7. hostsに海賊版サイトのIPを追記する
  8. 常駐しない

影響は?

hostsにアクセスするとセキュリティソフトが反応するので、目的は達成できないと思われる。

たとえ、hostsを書き換えられたとしても海賊版サイトにアクセスできなくなるだけなので私にはどうでもいいことですね。

とはいえ、ユーザーに無断でhostsを書き換える行為はマルウェアですね。

hosts

hostsの場所はコチラ。
C:\Windows\System32\drivers\etc\hosts

編集後のhostsファイルを認識させる方法|Windows 10

hostsとは? hosts | ホスト | ホスツ hostsはWindowsのシステムファイルです。 ファイル名は拡張子のない [hosts] で、Windowsが名前解決する時に参照するファイルです。 Windows起動時にロードされキャッシュ...

まとめ

検出とクリーンアップ

hostsは管理者として起動したメモ帳で編集することができます。

前項で記述した c:\Windows\System32\Drivers\hosts を開き、「127.0.0.1」で始まるすべての行を削除します。

ただそれだけ。
SC2
Windowsランキング 将棋ランキング スマホ・携帯ランキング にほんブログ村 IT技術ブログ ライフハックへ にほんブログ村 その他趣味ブログ 将棋へ

このサイトを検索 | Search this site

コメントを投稿

0 コメント