近日，安全公司Sophos发表了一份新的研究报告——《“义务劳动”式恶意软件在阻止海盗湾的同时赶走软件盗版者》，报告中详细介绍了一个网络攻击活动：该活动以盗版软件的用户为目标，恶意软件旨在阻止对托管盗版软件的网站的访问。

这种恶意软件与其它专注于窃取密码、搞破坏或向计算机所有者勒索赎金的恶意软件不同，其特别之处在于：它并不寻求窃取密码或向计算机所有者勒索赎金，而是阻止受害者访问一长串网站，包括许多分发盗版软件的网站。

从本质上讲，这是一个自带干粮“义务劳动”的恶意软件，它只针对软件盗版者。 

"从表面上看，对手的目标和工具表明这可能是某种粗制滥造的反盗版义务劳动。然而，攻击者庞大的潜在目标受众:从游戏玩家到商业专业人士，再加上过时的和新的工具、技术和程序（TTP）的奇怪组合，以及被恶意软件封锁的奇怪的网站列表，都使这次行动的最终目的有点模糊不清。"——安德鲁-勃兰特，索福斯公司首席威胁研究员

这波操作让许多受害者感到不解。

那该恶意软件是如何运行的？

01

Sophos 指出，恶意软件伪装成各种软件包的盗版副本或伪装成流行游戏的破解版，如《Minecraft》和《Among Us》，以及微软Office、安全软件等生产力应用程序。

02

伪装后的恶意软件通过BitTorrent协议从ThePirateBay（领先的数字文件共享网站）上的一个账户分发。这些链接和恶意软件文件被托管在Discord 这样的游戏或聊天服务器上。

03

托管在 Discord 上的共享文件，往往是单独的一个可执行文件。在恶意软件夹带的可执行文件中，还伪造了数字签名。该恶意软件在运行时还会触发一个假的错误信息，要求人们重新安装软件。Sophos研究人员认为这可能是为了打消怀疑。

通常来说，恶意软件不会只有一个传播途径，大多数还会利用电子邮件附件来进行传播，黑客往往会把病毒伪装成word文件、图片等，作为附件，并用“重要内容！”、“重要通知”等标题引起人们的注意，诱使用户打开邮件附件，一旦打开就可能会潜入电脑，并运行起来。

恶意文件是面向64位Windows 10编译的，在现代Windows电脑上，该恶意软件必须以管理员权限用户的身份运行，因此，更有意识和谨慎的用户将能够轻松避免攻击。

安全专家提示，使用Windows系统电脑的用户，应采用如下措施来防范、减缓病毒的攻击。

通过以下四大措施有效防范：

（1）注意微软官方公告，打好所有的系统补丁。如果是局域网系统，应使用企业安全软件中自带的补丁工具，这样可以兼顾安全和效率。

（2）安装主流安全软件。最好是国产软件，因为国产软件对国内局域网环境比较熟悉，防护效果相对较佳。

（3）重要系统做好与互联网的物理隔离，建立安全制度，并对重要数据实时备份。因为勒索软件一旦中毒，即使能把病毒杀掉也无法解密，因此做好备份十分重要。

（4）在局域网中排除电脑账户弱口令，凡是使用登陆密码1234、abcd这样简单密码的电脑账户，应立即修改密码。

推荐文章++++

* 黑客兜售超330万数据！大众汽车客户躺枪

* iOS又有新Bug，iPhone连接此类Wi-Fi会使其无线瘫痪 

* 最新！Win7将不再通过Windows Update下载驱动更新

* 两人因使用爬虫非法爬取、使用淘宝11.8亿用户数据获罪

* 旧版iOS漏洞可能已被利用？苹果发布iOS 12.5.4修复补丁

* 美国司法部再出手，取缔黑市SlilPP

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com