Accueil Sécurité VPN Le malware « Vigilante » bloque l’accès aux sites torrent populaires

antipiracy-malwarejpg-content-image-default1png-featured_image-default.png

Le malware « Vigilante » bloque l’accès aux sites torrent populaires

Par

juin 21, 2021

Les logiciels malveillants qui bloquent l’accès aux sites torrent populaires sont diffusés via Discord et dans les jeux vidéo piratés infectés téléchargés à partir des référentiels BitTorrent

Le malware anti-piratage a été découvert lors de recherches menées par la société de cybersécurité Sophos. Une fois infecté, l’exploit empêche l’utilisateur de visiter plus d’un millier de sites Web liés au torrent et au piratage.

Selon la société de sécurité, le malware de type justicier est relativement simple et peut être corrigé assez facilement pour récupérer l’accès au torrent et aux sites Web liés à la confidentialité qu’il bloque.

Table des matières hide

1 Malware inhabituel

2 Fichier HTES

3 Qui se cache derrière le malware ?

4 Utiliser des protections

Malware inhabituel

Dans leur billet de blog sur le sujet, des chercheurs de Remarque de Sophos que le malware non conventionnel s’écarte des normes acceptées pour le comportement d’exploitation :

Au lieu de chercher à voler des mots de passe ou à extorquer une rançon au propriétaire d’un ordinateur, ce malware empêche les ordinateurs des utilisateurs infectés de visiter un grand nombre de sites Web dédiés au piratage de logiciels en modifiant le fichier HOSTS sur le système infecté.

Selon Sophos, la charge utile irritante a fait son chemin sur les machines des gens via de faux téléchargements de versions piratées de « jeux populaires, d’outils de productivité et même de produits de sécurité ».

Le chercheur principal de Sophos, Andrew Brandt, a déclaré que le but principal du malware est « assez clair ». Il est conçu pour empêcher « les personnes de visiter des sites Web de piratage de logiciels (ne serait-ce que temporairement) ».

Toute personne infectée par un malware « vigilant » peut le supprimer à l’aide de l’antivirus Sophos, selon l’entreprise. D’autres programmes antivirus populaires devraient également être capables de détecter, bloquer et supprimer avec succès l’exploit, car il peut être découvert à l’aide de son « packer d’exécution unique, qui est le même que celui utilisé par une famille de logiciels malveillants sans rapport, Qbot », a déclaré Sophos.

Cela dit, toute personne infectée devra également mettre à jour manuellement le fichier HOSTS sur son système d’exploitation pour retrouver l’accès aux sites de torrent et de piratage bloqués.

Fichier HTES

Le fichier HOSTS est une ressource du système d’exploitation qui mappe les noms d’hôtes conviviaux contenus dans les URL (www.bla.com, par exemple) à la valeur numérique utilisée dans le routage pour identifier et localiser un hôte dans un réseau IP.

Lorsqu’ils sont infectés par le logiciel malveillant anti-piratage, les noms d’hôtes populaires pour les sites Web de piratage tels que Pirate Bay sont modifiés dans le fichier HOSTS pour pointer délibérément vers l’adresse IP 127.0.0.1. En conséquence, l’ordinateur ne peut pas accéder aux véritables adresses IP pour les services de piratage et de torrent.

Heureusement, il est relativement simple d’annuler l’effet négatif de ce malware. Toute personne infectée peut accéder manuellement à son fichier HOSTS pour le ramener à son état par défaut ou pour nettoyer manuellement toutes les entrées qui ont été configurées pour pointer vers 127.0.0.1. Sophos explique :

Les utilisateurs qui ont exécuté par inadvertance l’un de ces fichiers peuvent nettoyer leur fichier HOSTS manuellement, en exécutant une copie du Bloc-notes élevé (en tant qu’administrateur) et en modifiant le fichier dans c:WindowsSystem32Driversetchosts pour supprimer tous les lignes commençant par « 127.0.0.1 » et faisant référence aux différents sites ThePirateBay (et autres).

De plus, le virus n’a pas de mécanisme de persistance, donc une fois que vous avez mis à jour le fichier HOSTS (tant que vous n’exécutez pas à nouveau l’exécutable), vous n’aurez plus aucun problème. Pour plus d’informations sur le nettoyage de votre fichier HOSTS ou le retour à son état par défaut, visitez cette page Blog Windows sur le sujet pour plus d’informations.

Mis à part la non-persistance, nous vous recommandons fortement d’utiliser un programme antivirus pour vous assurer que vous ne devenez pas infecté par ce type de malware à l’avenir et pour vous assurer que vous pouvez correctement le détecter et le supprimer de votre système si vous avez été victime.

Qui se cache derrière le malware ?

Pour le moment, on ne sait pas qui se cache derrière ce malware. Cependant, l’exploit (qui est décrit comme étant « bizarre » par son découvreur) fait certainement sourciller.

À première vue, le malware vigilant semble avoir été le plus susceptible d’avoir été diffusé par un pirate informatique dont la motivation principale est de soutenir les détenteurs de droits d’auteur et les éditeurs de contenu dont le travail est piraté et partagé gratuitement sur les sites Web Torrent. Ceci est en contradiction directe avec la volonté de la majorité des cybercriminels – qui sont généralement favorables au piratage.

Cela implique que le pirate peut travailler pour le compte de détenteurs de droits d’auteur qui estiment avoir été lésés par des sites de torrent et de piratage. Plus précisément (car le malware apparaît principalement dans les faux téléchargements de jeux informatiques piratés), le pirate informatique pourrait travailler au sein de l’industrie des jeux informatiques, peut-être pour un studio de jeux qui a été victime de pirates.

Il convient également de noter qu’au cours de ses recherches, Sophos a trouvé un document texte .nfo dans la charge utile ; vraisemblablement là pour rendre l’archive plus légitime. Les fichiers BitTorrent contiennent souvent des fichiers groupés, notamment un fichier .nfo qui fournit des informations supplémentaires sur le logiciel.

La présence de ces types de fichiers groupés peut aider les victimes à télécharger le logiciel malveillant. Cependant, en examinant de plus près le fichier .nfo fourni avec le malware, Sophos a découvert qu’il était rempli d’insultes racistes. La société a déclaré :

Le remplissage de l’archive avec des fichiers inutiles de longueur aléatoire peut simplement être fait pour modifier la valeur de hachage de l’archive. Le remplir d’insultes racistes m’a dit tout ce que j’avais besoin de savoir sur son créateur.

Comme indiqué, la présence de contenu raciste dans le malware révèle qu’il a été créé par un individu extrêmement peu recommandable.

Ainsi, si cela a été produit et diffusé par quelqu’un travaillant pour un studio de jeu spécifique (ou un autre intérêt du droit d’auteur) ; les consommateurs seraient très intéressés de savoir exactement de quelle société ou titulaire du droit d’auteur il s’agit – afin de pouvoir le boycotter pour des raisons morales.

Utiliser des protections

Enfin, il convient de noter que même si le logiciel malveillant ne semble pas voler de mots de passe ou d’autres informations personnelles à partir de machines infectées, il renvoie certaines informations aux pirates.

L’exploit a été trouvé pour renvoyer des informations au domaine contrôlé par le pirate informatique avec un message contenant le nom du logiciel que la victime a tenté de pirater. Ces informations pourraient être utiles aux titulaires de droits d’auteur cherchant à retrouver des pirates à des fins de contentieux et de rémunération, voire, éventuellement, de poursuites.

Comme toujours, nous recommandons à toute personne envisageant d’accéder à des sites Web de piratage ou souhaitant télécharger des fichiers torrent de le faire en utilisant un VPN pour dissimuler son adresse IP personnelle. Pour plus d’informations sur l’utilisation d’un VPN pour gagner en confidentialité, rendez-vous sur notre Meilleurs VPN pour le torrent guider.