Az új kártevõ legfõbb célja a ThePirateBay és más népszerû torrent oldalak elzárása a felhasználók elõl

Lassan minden napra jut hír különbözõ léptékû hackertámadásokról, legyen az átlag felhasználók adatainak felszippantása, esetleg óriásvállalatok és állami hivatalok szervereinek meglékelése, értékes információk reményében. Most azonban egy egészen furcsa fenyegetésrõl olvashatunk, mely kifejezetten az illegális fájlcserélõ oldalak látogatóira utazik.

Illetve bárkire, aki hajlandó olyan tartalmakra kattintani, melyek megjelenésükben hasonlók a kalóztartalmakat kínáló oldalakon közzétett fájlcsomagokkal. Az esetrõl az adatbiztonság területén veteránnak számító brit Sophos vállalat egyik munkatársa adott tudósítást, miután kollégája elküldte neki felfedezését. Andrew Brandt kutató külön blogbejegyzést is szánt az esetnek, melyet az egyik legfurcsább esetnek nevezett, amivel az utóbbi idõben találkozott. Az a bizonyos furcsaság pedig abban rejlik, hogy a terjedésnek indult program elsõdleges célja látványos módon eltér a leggyakoribb rosszindulatú programok céljaitól. Se jelszavakat nem próbál meg ellopni, se semmilyen fájlt nem próbál megszerezni, de még a meghajtónkat sem zárolja egy megfejthetetlen kóddal, éppen ezért nincs is nagyon miért váltságdíjat követelnie tõlünk. A kártevõ ehelyett egy jól meghatározható feladatot lát el, mégpedig megpróbálja megakadályozni, hogy a fertõzött géprõl úgynevezett szoftverkalózkodással foglalkozó weboldalakat látogathassunk meg.

Teszi mindezt a Windows rendszerben található HOST fájl módosításával, mely egy egyszerû, ugyanakkor hatékony módszer arra, hogy sikeresen akadályozza meg a számítógép számára a kiválasztott webhelyek elérését. Az aktuális kártevõ több furcsaságot is rejt magában, például nem rendelkezik perzisztencia-mechanizmussal, tehát nem írja felül rendszeresen a HOST fájlt és nem frissíti a tiltott címek listáját, ezeket bármikor törölhetjük és átírhatjuk, a program csak akkor végez módosítást, ha ismét lefuttatjuk. Maga a program amúgy keresett és népszerû tartalmaknak álcázza magát, de a torrent mögött rejlõ csomag is úgy van elõkészítve, ahogy azt a kalózoldalakon szokás, benne a keresettnek tûnõ tartalom, egy szövegfájl és egy régimódi parancsikon, mely az adott torrentoldalra vezet. Bár többnyire nagy érdeklõdést begyûjtõ videojátékként tûnik fel, volt rá példa, hogy valamely Adobe, Microsoft, vagy más ismert tartalomkészítõ szoftvernek, esetleg közkedvelt biztonsági programnak látszott. A módszer egyszerû, hiszen a legtöbb esetben a legnépszerûbb torrentek nevét egy az egyben átveszi, így nagy eséllyel fog magának óvatlan letöltõket. A feltûnése több platformon is elõfordult, alapvetõen a Bittorrent a forrása és többnyire ThePirateBay-es megosztásnak tûnik, de a kutató szerint már Discordon is erõsen terjed, többnyire önálló telepítõfájl formájában. Mint kiderült, a fájlok felületes és nem túl meggyõzõ alírással rendelkeznek, hogy az egyszerûbb ellenõrzéseken áthaladhassanak, a fájlok leírása és a valódi tartalom azonban többnyire nem is hasonlítanak, tehát a készítõk erre nem sok idõt fordítottak.

Aki belefut a kártevõbe és elindítja azt, elõször valószínûleg egy rendszerhibát jelzõ hibaüzenettel találkozhat, miszerint az indítás a MSVCR100.dll hiánya miatt nem lehetséges. Természetesen ez csak egy üres üzenet, erre a fájlra semmi szükségünk nem lesz, ugyanis a malware programindítás helyett teleírja a HOST fájlt nagyjából ezer címmel, miközben felkeres két, jelenleg már nem mûködõ címet. Az elsõ egyfajta biztonsági kapcsolót szed le, mely megakadályozza a káros folyamatot minden olyan gépen, ahol talál egy "7686789678967896789678" és egy "412412512512512" nevû fájlt. Ezek üres fájlok is lehetnek, a mûveletet pedig valószínûleg elõvigyázatosságként emelték be, nehogy visszafelé süljön el a fegyver. A második lekéréskor a fertõzött géprõl küldene információt a felkeresett oldal üzemeltetõinek, a cél pedig az lenne, hogy a támadók többet megtudjanak a kalózkodó felhasználókról, de Brandt szerint a szerver már nem létezik és metaadat sem nagyon maradt utána, hogy valamelyest lenyomozható legyen. A malware állítólag egészen biztosan magánakció részeként indult útjára, a céges érintettség pedig majdnem teljesen kizárható, egy vállalat ugyanis nem igazán kockáztatná meg, hogy olyan rasszista megjegyzésekkel töltse fel a mellékelt szövegfájlokat, mint amilyenek több letöltésben is szerepeltek.

A Sophos természetesen felvette a kártevõt a védelmi adatbázisába, és megoldást is kínál a szerencsére nem túl halálos kártevõ ellen. Aki esetleg áldozattá vált, adminisztrátorként nyissa meg Notepad, vagyis Jegyzettömb segítségével a c:Windows System32 Drivers etc hosts fájlt és törölje az összes olyan sort, amely '127.0.0.1'-gyel kezdõdik, és a különbözõ ThePirateBay (vagy más) hasonló webhelyekre hivatkozik.