بدافزار که مانع دسترسی به سایت های محبوب تورنت می شود از طریق Discord و از بازی های ویدیویی دزدان دریایی آلوده که از مخازن BitTorrent بارگیری می شوند توزیع می شود.
بدافزار ضد دزدان دریایی در تحقیقی که توسط شرکت امنیت سایبری Sophos انجام شد ، کشف شد. این سوit استفاده پس از آلوده شدن ، از بازدید هزاران وب سایت مربوط به تورنت و دزدی دریایی جلوگیری می کند.
طبق گفته شرکت های امنیتی ، بدافزار به سبک هوشیاری نسبتاً پیچیده است و برای بازیابی دسترسی می توان آن را به راحتی اصلاح کرد. وب سایت های مرتبط با تورنت و حریم خصوصی را مسدود کنید.
بدافزار ناهنجار
در یک پست وبلاگ در این باره ، محققان در Sophos خاطرنشان کردند که بدافزار غیر عادی از هنجارهای پذیرفته شده برای رفتارهای سوus استفاده می کند. با تغییر در پرونده HOSTS در سیستم آلوده ، بدافزار از ورود رایانه کاربر آلوده به بسیاری از وب سایت های مختص دزدی دریایی نرم افزار جلوگیری می کند.
طبق گفته Sophos ، محموله های آزار دهنده از طریق: بارگیری جعلی نسخه های دزدی دریایی "بازی های محبوب ، ابزارهای بهره وری و محصولات امنیتی".
اندرو برانت ، محقق ارشد Sophos گفت كه هدف اصلی این بدافزار "كاملاً واضح است." "برای جلوگیری از آن طراحی شده است.
هرکسی که به بدافزار "vigilante" آلوده باشد می تواند از آنتی ویروس Sophos برای خلاص شدن از آن استفاده کند. Sophos گفت ، سایر برنامه های معروف آنتی ویروس نیز باید بتوانند با موفقیت شناسایی ، مسدود و حذف شوند ، زیرا می توان آنها را با استفاده از "همان بسته های زمان اجرا منحصر به فرد مورد استفاده Qbot ، یک خانواده بدافزار غیر مرتبط" یافت. [19659003] این بدان معناست که فرد آلوده باید پرونده HOSTS را به صورت دستی در سیستم عامل خود به روز کند تا مجدداً به سایت های تورنت و دزدان دریایی مسدود شده دسترسی پیدا کند.
پرونده HOSTS
پرونده HOSTS یک منبع سیستم عامل است. با نگاشتن نام میزبان های دوستدار انسان موجود در URL ها (به عنوان مثال www.bla.com) به مقادیر عددی مورد استفاده برای مسیریابی ، میزبان ها را در شبکه های IP شناسایی و مکان یابی می کند.
هنگامی که به بدافزار ضد دزدی دریایی آلوده می شود ، نام میزبان محبوب وب سایت های دزدی دریایی مانند Pirate Bay عمداً تغییر می کند تا به آدرس IP 127.0.0.1 در پرونده HOSTS اشاره کند. در نتیجه ، دسترسی کامپیوتر شما به آدرسهای IP اصلی برای دزدی دریایی و خدمات تورنت مسدود شده است.
خوشبختانه لغو اثرات منفی این بدافزار نسبتاً ساده است. هر فرد آلوده می تواند به صورت دستی به پرونده HOSTS دسترسی پیدا کند تا به حالت پیش فرض خود برگردد یا هر آنچه را که برای 127.0.0.1 در نظر گرفته شده است به صورت دستی پاک کند. سوفوس توضیح می دهد:
کاربرانی که به طور تصادفی یکی از این پرونده ها را اجرا کردند ، می توانند با اجرای یک نسخه از Notepad با امتیازات مدیر ، فایل HOSTS را به طور دستی پاک کنند و فایل را در c: Windows System32 Drivers و غیره تغییر دهند. hosts همه خطوط را با شروع با & # 39؛ 127.0.0.1 & # 39؛ حذف می کند و به سایت های مختلف ThePirateBay (و دیگران) ارجاع می دهد.
همچنین ، از آنجا که ویروس ها مکانیسم ماندگاری ندارند ، به روزرسانی پرونده HOSTS مجدداً قابلیت اجرا را ندارد ، بنابراین مشکل دیگر نیست. برای کسب اطلاعات بیشتر در مورد نحوه پاک کردن یا برگرداندن پرونده HOSTS خود به حالت پیش فرض ، برای جزئیات بیشتر به این وبلاگ ویندوز در این مورد مراجعه کنید.
جدا از عدم پایداری ، توصیه می شود که از یک برنامه ضد ویروس برای جلوگیری از آلوده شدن به این نوع بدافزارها در آینده استفاده کنید و اطمینان حاصل کنید که سیستم شما می تواند به درستی آن را شناسایی و حذف کند: قربانی کردن
چه کسی پشت بدافزار قرار دارد؟
فعلاً مشخص نیست که چه کسی در پشت این بدافزار قرار دارد. با این حال ، بهره برداری (که توسط کاشفان آن "عجیب" توصیف شده است) مطمئناً ابروها را بالا می برد. در ظاهر ، بدافزار هوشیار به احتمال زیاد توسط هکرهایی پخش می شود که انگیزه اصلی آنها حمایت از صاحبان حق چاپ و ناشران محتوایی است که صاحب آثاری هستند که به صورت رایگان در وب سایت های تورنت به اشتراک گذاشته می شوند. این امر مستقیماً با اراده اکثریت مجرمان اینترنتی در حمایت از دزدی دریایی به طور کلی مغایرت دارد.
این بدان معناست که هکرها می توانند به نمایندگی از دارندگان حق چاپ که فکر می کنند توسط سایت های تورنت و دزدی دریایی گمراه شده اند ، عمل کنند. به طور خاص (از آنجا که بدافزار در درجه اول در بارگیری های جعلی بازی های رایانه ای غیرقانونی دیده می شود) ، هکرها می توانند در صنعت بازی های رایانه ای کار کنند ، شاید در استودیوهای بازی سازی که به دست دزدان دریایی افتاده اند کار کنند. همچنین لازم به ذکر است که در طی تحقیق ، Sophos اسناد متنی .nfo را در داخل محموله یافت. احتمالاً فقط برای اینکه بایگانی ها قانونی تر به نظر برسند. پرونده های BitTorrent اغلب حاوی فایل های همراه هستند ، از جمله فایل های .nfo که اطلاعات بیشتری در مورد نرم افزار ارائه می دهند.
وجود این نوع پرونده های همراه می تواند قربانیان را برای بارگیری بدافزار فریب دهد. با این حال ، با بررسی دقیق پرونده های .nfo همراه با بدافزار ، Sophos کشف کرد که این پرونده ها پر از حقه های نژادپرستانه است. این شرکت گفت:
ضمیمه کردن بایگانی با پرونده دلخواه با طول دلخواه ، به سادگی می تواند مقدار هش بایگانی را اصلاح کند. همپوشانی با تهمت های نژادپرستانه همه چیزهایی را که باید درباره سازندگان بدانیم به ما می داد.
همانطور که توضیح داده شد ، وجود محتوای نژادپرستانه در داخل بدافزار نشان می دهد که توسط افراد بسیار ناخوشایند ایجاد شده است.
اگر توسط شخصی که برای یک استودیوی بازی خاص کار می کند (یا هر علاقه دیگری در زمینه حق چاپ) ایجاد و توزیع شده باشد ، مصرف کننده علاقه زیادی دارد که بداند دقیقاً کدام شرکت یا دارنده حق چاپ است ، بنابراین می تواند به دلایل اخلاقی امتناع کند.
Enable protection
سرانجام ، به نظر می رسد که بدافزار هیچ اطلاعاتی را نمی دزدد. اگر از رایانه آلوده گذرواژه یا سایر اطلاعات شخصی داشته باشید ، برخی از اطلاعات را به هکر ارسال می کند.
این حمله نشان داد که قربانی اطلاعات را به همراه پیامی حاوی نام نرم افزار به دامنه کنترل شده توسط هکرها ارسال می کند. یک دزد دریایی را امتحان کرد. این اطلاعات می تواند برای دارندگان حق نسخه برداری که به دنبال دزدان دریایی برای طرح دعوی و جبران خسارت هستند ، یا اهداف بالقوه تعقیب قانونی باشد.
مانند همیشه ، هر کسی که قصد دسترسی به وب سایت های دزد دریایی یا بارگیری پرونده های تورنت را داشته باشد ، تشویق می شود. با استفاده از VPN آدرس IP خانه خود را مخفی کنید. برای اطلاعات بیشتر در مورد نحوه استفاده از VPN برای حفظ حریم خصوصی ، به راهنمای ما برای بهترین VPN ها برای تورنت مراجعه کنید.
