l+f: Malware kämpft gegen Software-Piraterie
Der Trojaner "Vigilante" (engl. für Bürgerwehr) spielt den Aufpasser auf Windows-PCs: Hosts-Manipulationen sollen Nutzer von Filesharing-Plattformen fernhalten.
(Bild: Wikimedia Commons / Baden de / CC BY 3.0)
Als einen der seltsamsten Fälle, der ihm seit langem untergekommen ist, hat ein Malware-Analyst von Sophos den Trojaner "Vigilante" – englisch für Bürgerwehr – bezeichnet. Denn anders als die meisten seiner Verwandten hat Vigilante wohl nichts Böses im Sinn, sondern engangiert sich gegen Raubkopiererei. Die Methoden des selbsternannten Vorzeigebürgers sind allerdings ziemlich übergriffig: Durch Manipulationen der hosts-Datei versperrt er Windows-Nutzern den Zugriff auf Filesharing-Plattformen wie beispielsweise The Pirate Bay.
Fertig machen zum (hosts) Entern
Als gecrackte Software getarnt, nutzt Vigilante als Verbreitungswege etwa Discord-Server und das BitTorrent-Protokoll. Nach Einschätzung des Sophos-Forschers dienen ihm hunderte verschiedene Software-Namen als Tarnung. Um schreibend auf hosts zuzugreifen, muss Vigilante auf Windows 10-Systemen im Normalfall an der User Account Control (UAC) vorbei; der installierende Benutzer muss also sein Okay zur Abfrage: "Möchten Sie zulassen, dass durch diese App (...) Änderungen an Ihrem PC vorgenommen werden?" geben.
(Bild: Sophos Labs / sophos.com)
Gelingt dies, entert der selbsternannte Ordnungshüter die hosts-Datei. In diese Textdatei, die gewissermaßen ein Relikt aus früheren Zeiten darstellt, kann man Kombinationen aus IP-Adressen und Hostnamen eintragen. Unter anderem die Namensauflösung von Windows konsultiert neben den DNS-Servern auch heutzutage die Datei, wenn ein Netzwerkdienst die Adresse für einen Host ermitteln will. Vigilante nutzt diesen Umstand, um die Localhost-IP 127.0.0.1 mit Domainnamen von Filesharing-Plattformen zu kombinieren.
Auf diese Weise laufen entsprechende Website-Aufrufe im Browser ins Leere. Und damit der Nutzer angesichts des wirkungslosen Softwareaufrufs keinen Verdacht schöpft, behauptet Vigilante abschließend in einer Fake-Fehlermeldung, dass eine fehlende DLL den Programmstart verhindert. Wer daraufhin gleich wieder Segel Richtung Pirate Bay und Co. setzt, dürfte wenigstens vorerst scheitern. Arrr!
Unklare Motive, keine bleibenden Schäden
Was Vigilante bezweckt, ist bislang völlig unklar. Sophos Labs ausführliche Analyse nennt noch weitere Details zu dem ungewöhnlichen Schädling: Unter anderem lädt er ein weiteres Schadcode-Modul nach und übermittelt den Dateinamen des Programms, als das er sich jeweils tarnt, nebst der IP-Adresse des Opfers an einen Server der Angreifer. Denkbar wären etwa anschließende Erpressungsversuche auf Basis dieser Informationen. Der besagte Server ist laut Sophos allerdings derzeit wieder offline.
Insgesamt lässt sich aus der Analyse ableiten, dass Vigilante nebst nachgeladenem Code wohl keine Persistenz auf den infizierten Rechnern anstrebt: Die Malware wird offenbar nur einmal ausgeführt und zum Bereinigen betroffener Systeme reicht das manuelle Löschen von hosts-Einträgen und Schadcode-Download aus.
- Sophos-Analyse zu Vigilante
- Indicators of Compromise (IoC) Übersicht bei GitHub
- Analyse eines Vigilante-Samples auf VirusTotal.com
- Hosts-Datei in Windows 10 bearbeiten (heise Tipps+Tricks)
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(ovw)
