Az új kártevő legfőbb célja a ThePirateBay és más népszerű torrent oldalak elzárása a felhasználók elől
Lassan minden napra jut hír különböző léptékű hackertámadásokról, legyen az átlag felhasználók adatainak felszippantása, esetleg óriásvállalatok és állami hivatalok szervereinek meglékelése, értékes információk reményében. Most azonban egy egészen furcsa fenyegetésről olvashatunk, mely kifejezetten az illegális fájlcserélő oldalak látogatóira utazik.
Illetve bárkire, aki hajlandó olyan tartalmakra kattintani, melyek megjelenésükben hasonlók a kalóztartalmakat kínáló oldalakon közzétett fájlcsomagokkal. Az esetről az adatbiztonság területén veteránnak számító brit Sophos vállalat egyik munkatársa adott tudósítást, miután kollégája elküldte neki felfedezését. Andrew Brandt kutató külön blogbejegyzést is szánt az esetnek, melyet az egyik legfurcsább esetnek nevezett, amivel az utóbbi időben találkozott. Az a bizonyos furcsaság pedig abban rejlik, hogy a terjedésnek indult program elsődleges célja látványos módon eltér a leggyakoribb rosszindulatú programok céljaitól. Se jelszavakat nem próbál meg ellopni, se semmilyen fájlt nem próbál megszerezni, de még a meghajtónkat sem zárolja egy megfejthetetlen kóddal, éppen ezért nincs is nagyon miért váltságdíjat követelnie tőlünk. A kártevő ehelyett egy jól meghatározható feladatot lát el, mégpedig megpróbálja megakadályozni, hogy a fertőzött gépről úgynevezett szoftverkalózkodással foglalkozó weboldalakat látogathassunk meg.
Teszi mindezt a Windows rendszerben található HOST fájl módosításával, mely egy egyszerű, ugyanakkor hatékony módszer arra, hogy sikeresen akadályozza meg a számítógép számára a kiválasztott webhelyek elérését. Az aktuális kártevő több furcsaságot is rejt magában, például nem rendelkezik perzisztencia-mechanizmussal, tehát nem írja felül rendszeresen a HOST fájlt és nem frissíti a tiltott címek listáját, ezeket bármikor törölhetjük és átírhatjuk, a program csak akkor végez módosítást, ha ismét lefuttatjuk. Maga a program amúgy keresett és népszerű tartalmaknak álcázza magát, de a torrent mögött rejlő csomag is úgy van előkészítve, ahogy azt a kalózoldalakon szokás, benne a keresettnek tűnő tartalom, egy szövegfájl és egy régimódi parancsikon, mely az adott torrentoldalra vezet. Bár többnyire nagy érdeklődést begyűjtő videojátékként tűnik fel, volt rá példa, hogy valamely Adobe, Microsoft, vagy más ismert tartalomkészítő szoftvernek, esetleg közkedvelt biztonsági programnak látszott. A módszer egyszerű, hiszen a legtöbb esetben a legnépszerűbb torrentek nevét egy az egyben átveszi, így nagy eséllyel fog magának óvatlan letöltőket. A feltűnése több platformon is előfordult, alapvetően a Bittorrent a forrása és többnyire ThePirateBay-es megosztásnak tűnik, de a kutató szerint már Discordon is erősen terjed, többnyire önálló telepítőfájl formájában. Mint kiderült, a fájlok felületes és nem túl meggyőző alírással rendelkeznek, hogy az egyszerűbb ellenőrzéseken áthaladhassanak, a fájlok leírása és a valódi tartalom azonban többnyire nem is hasonlítanak, tehát a készítők erre nem sok időt fordítottak.
Aki belefut a kártevőbe és elindítja azt, először valószínűleg egy rendszerhibát jelző hibaüzenettel találkozhat, miszerint az indítás a MSVCR100.dll hiánya miatt nem lehetséges. Természetesen ez csak egy üres üzenet, erre a fájlra semmi szükségünk nem lesz, ugyanis a malware programindítás helyett teleírja a HOST fájlt nagyjából ezer címmel, miközben felkeres két, jelenleg már nem működő címet. Az első egyfajta biztonsági kapcsolót szed le, mely megakadályozza a káros folyamatot minden olyan gépen, ahol talál egy "7686789678967896789678" és egy "412412512512512" nevű fájlt. Ezek üres fájlok is lehetnek, a műveletet pedig valószínűleg elővigyázatosságként emelték be, nehogy visszafelé süljön el a fegyver. A második lekéréskor a fertőzött gépről küldene információt a felkeresett oldal üzemeltetőinek, a cél pedig az lenne, hogy a támadók többet megtudjanak a kalózkodó felhasználókról, de Brandt szerint a szerver már nem létezik és metaadat sem nagyon maradt utána, hogy valamelyest lenyomozható legyen. A malware állítólag egészen biztosan magánakció részeként indult útjára, a céges érintettség pedig majdnem teljesen kizárható, egy vállalat ugyanis nem igazán kockáztatná meg, hogy olyan rasszista megjegyzésekkel töltse fel a mellékelt szövegfájlokat, mint amilyenek több letöltésben is szerepeltek.
A Sophos természetesen felvette a kártevőt a védelmi adatbázisába, és megoldást is kínál a szerencsére nem túl halálos kártevő ellen. Aki esetleg áldozattá vált, adminisztrátorként nyissa meg Notepad, vagyis Jegyzettömb segítségével a c:Windows System32 Drivers etc hosts fájlt és törölje az összes olyan sort, amely '127.0.0.1'-gyel kezdődik, és a különböző ThePirateBay (vagy más) hasonló webhelyekre hivatkozik.