Vigilante 恶意软件阻止人们访问 torrent 网站

阻止访问流行 torrent 网站的恶意软件正在通过 Discord 以及从 BitTorrent 存储库下载的受感染盗版视频游戏中传播

这种反盗版恶意软件是在网络安全公司 Sophos 进行的研究中发现的。一旦被感染，该漏洞将阻止用户访问一千多个与种子下载和盗版相关的网站。

据该安全公司称，这种治安维护者式的恶意软件相对不复杂，可以很容易地修复，以恢复对其阻止的 torrent 和隐私相关网站的访问。

不寻常的恶意软件

在他们关于这个主题的博客文章中，研究人员Sophos 注释该非常规恶意软件背离了公认的利用行为规范：

该恶意软件不是寻求窃取密码或勒索计算机所有者勒索赎金，而是通过修改受感染系统上的 HOSTS 文件来阻止受感染用户的计算机访问大量专门用于软件盗版的网站。

据 Sophos 称，令人恼火的有效负载已经通过“流行游戏、生产力工具甚至安全产品”的盗版版本的虚假下载进入人们的计算机。

Sophos 首席研究员 Andrew Brandt 表示，该恶意软件的主要目的“非常明确”。它旨在防止“人们访问软件盗版网站（如果只是暂时的）”。

据该公司称，任何感染“vigilante”恶意软件的人都可以使用 Sophos 防病毒软件将其删除。 Sophos 表示，其他流行的防病毒程序也应该能够成功检测、阻止和删除该漏洞，因为可以使用其“独特的运行时加壳器发现该漏洞，该加壳器与不相关的恶意软件家族 Qbot 使用的相同”。

也就是说，任何被感染的人还需要手动更新操作系统上的 HOSTS 文件，才能重新访问被阻止的 torrent 和盗版网站。

HOSTS 文件是一种操作系统资源，它将 URL（例如 www.bla.com）中包含的易于理解的主机名映射到路由中使用的数值，以识别和定位 IP 网络中的主机。

当被反盗版恶意软件感染时，盗版网站（例如 Pirate Bay）的流行主机名会在 HOSTS 文件中被更改，故意指向 IP 地址 127.0.0.1。因此，计算机将被阻止访问盗版和种子下载服务的真实 IP 地址。

幸运的是，消除该恶意软件的负面影响相对简单。任何已被感染的人都可以手动访问其 HOSTS 文件，将其恢复到默认状态或手动清除已设置为指向 127.0.0.1 的任何条目。 Sophos 解释说：

无意中运行这些文件之一的用户可以通过运行提升的记事本副本（以管理员身份）手动清理其 HOSTS 文件，并修改 c:\Windows\System32\Drivers\etc\hosts 中的文件以删除所有以“127.0.0.1”开头的行并引用各个 ThePirateBay（和其他）站点。

此外，该病毒没有持久性机制，因此一旦您更新了 HOSTS 文件（只要您不再运行可执行文件），您将不再遇到任何问题。有关清理 HOSTS 文件或将其返回到默认状态的更多信息，请访问此有关该主题的 Windows 博客了解更多信息。

除了非持久性之外，我们强烈建议您使用顶级防病毒程序确保您将来不会感染此类恶意软件，并确保您能够在受害时正确检测到它并将其从系统中删除。

目前尚不清楚该恶意软件的幕后黑手是谁。然而，该漏洞（被其发现者描述为“奇怪”）确实引起了人们的注意。

从表面上看，这种治安维护者恶意软件似乎最有可能是由黑客传播的，其主要动机是支持版权持有者和内容出版商，他们的作品在 Torrent 网站上被盗版和免费共享。这与大多数网络犯罪分子的意愿直接矛盾——他们普遍支持盗版。

还值得注意的是，Sophos 在研究过程中在有效负载中发现了一个 .nfo 文本文档；大概是为了让档案看起来更合法。 BitTorrent 文件通常包含捆绑文件，其中包括提供有关软件的附加信息的 .nfo 文件。

此类捆绑文件的存在可以帮助诱骗受害者下载恶意软件。然而，在仔细检查与恶意软件捆绑的 .nfo 文件后，Sophos 发现其中充满了种族主义诽谤。该公司表示：

用随机长度的无目的文件填充存档可以简单地完成以修改存档的哈希值。用种族主义诽谤来填充它告诉了我所有我需要了解的关于它的创造者的信息。

如上所述，恶意软件中存在种族主义内容表明它是由一个极其令人讨厌的个人创建的。

最后，值得注意的是，虽然该恶意软件似乎并未从受感染的计算机中窃取任何密码或其他个人信息，但它确实会将一些信息发送回黑客。

一如既往，我们建议任何考虑访问盗版网站或想要下载 torrent 文件的人在使用 VPN 隐藏其家庭 IP 地址时这样做。有关使用 VPN 获取隐私的更多信息，请访问我们的最佳种子下载 VPN指导。