Sophos剛剛報導了一款名叫Vigilante的惡意軟件，但其行為卻讓許多受害者感到不解。與其它專注於偷密碼、搞破壞、或勒索贖金的惡意軟件不同，Vigilante會通過修改Hosts文件來阻止受害者訪問包括海盜灣（The Pirate Bay）等盜版資源網站。與此同時，它還會下載第二款名叫ProcessHakcer.jpg的惡意軟件，但它其實是一個可執行文件。

截圖（來自：Sophos）

對於有一定計算機技能的網友來說，修改Hosts 文件是阻止計算機訪問特定Web 服務的一個“簡單粗暴”的方法。

不過Vigilante 並不會持久維護這份Hosts 黑名單，除非受害者第二次運行了這款惡意軟件。

從進程監視器的日誌記錄來看，某個偽造身份的惡意軟件篡改了系統自帶的Hosts 文件。

我們無法辨別該惡意軟件到底是從哪來的，但它的動機似乎很明確—— 阻止受害者訪問盜版軟件網站。

惡意軟件自帶的黑名單，涵蓋了1000+ 的網站域名，並將之IP 地址重定向到了本地迴路（127.0.0.1）。

通過進一步的分析，Sophos 指出某些惡意軟件會將自己偽裝成各種軟件包的盜版副本，然後託管在Discord 這樣的遊戲或聊天服務器上。

另外也有一些惡意軟件會通過BT 渠道進行分發，比如假冒成熱門遊戲、生產力工具、甚至安全軟件。

但如果仔細觀察，你會發現它們往往夾帶了一些私貨（附有其它可疑的文件）。

在VirusTotal 上檢索相關樣本時，可以發現數以百計的不同名稱，比如《求生之路2》（v2.2.0.1 Last Stand + DLCs + MULTi19）和《我的世界》（1.5.2 破解版[Full Installer] [Online] [Server List]”。

不過託管在Discord 上的共享文件，往往是單獨的一個可執行文件，而通過BT 打包來分發的方式，則更類似於傳統的盜版途徑（添加到一個壓縮包中，包含一個文本文件、其它輔助文件、以及指向盜版網站的鏈接）。

在惡意軟件夾帶的可執行文件中，有一些還偽造了數字簽名。但在證書籤發機構這一欄，都是一長串的18 個隨機大寫字母。

至於證書的有效期，大部分文件都是從下載首日開始算起的，到期日則是2039 年12 月31 日。

惡意可執行文件的屬性表，同樣與惡意軟件的真身不符。即便大多數都自詡為某款遊戲、或生產力軟件的全功能已授權副本的安裝程序，但惡意軟件製作者似乎並不在意這些細節。

如果在受害者計算機上順利運行，用戶能感知到的時間也非常短暫。在雙擊過後，它會彈出一條“缺乏MSVCR100.dll”而無法啟動程序的提示，並建議重裝以修復該問題。

通過進程監視器，Sophos安全研究人員發現它根本沒有調用過Windows API來查詢這個動態鏈接庫文件，意味著該惡意軟件只是在虛張聲勢。

而且就算你的系統裡已經有MSVCR100.dll，這對話框還是會無腦地彈出。當然，Vigilante 也不是完全“沒幹正事”，比如它會在運行時檢查能否建立出站網絡連接。

可以的話，Vigilante 會嘗試聯繫1flchier[.]com 這個域名上的某個網址（注意並不是雲存儲服務提供商1fichier 的克隆，第三個字符是l 不是I）。

諷刺的是，即使惡意軟件會對這些請求使用相同的用戶代理（User-Agent）字符串（Mozilla/5.0 Gecko/41.0 Firefox/41.0），但被其篡改的Hosts 文件竟然也阻止了受害者訪問合法的1fichier 域名。

此外該惡意軟件樣本執行了兩個HTTP GET 請求，其一是搜索名為ProcessHacker.jpg 文件（輔助可執行負載），其二是通過查詢字符串，將運行的可執行文件的名稱發送給網站運營者。

此外ProcesserHacker 的二進製文件也表現出了一些有趣的特性，比如設置了whoareyoutellmeandilltellyouwho 這個互斥鎖，以確保只會運行自身的一份副本。

最後，如果創建了一個零字節的“7686789678967896789678”和“412412512512512”文件，並將之放到特定的%PATH% 文件路徑，Vigilante 就不會在啟動時篡改Hosts 文件。