Mysteriöse Malware greift Filesharer an und sperrt Piraterie-Seiten
Alle, die sich auf die Suche nach Schwarzkopien machen, sind wohl daran gewöhnt, dass es ein gewisses Malware-Risiko gibt. Eine aktuelle Malware visiert ebenfalls Piraten an, allerdings auf ungewöhnliche Art und Weise, denn Nutzer werden gehindert, einschlägige Seiten zu besuchen.
Piraterie birgt ein gewisses Risiko in sich. Denn man kann sich, wenn man nicht vorsichtig ist, immer einen Virus oder eine sonstige Schadsoftware einfangen. Das heben auch die Urheberrechtsbesitzer immer wieder hervor, sie wollen damit die Filesharer vor allem auch abschrecken. Die Sicherheitsfirma Sophos (via TorrentFreak) hat nun aber eine neue und durchaus ungewöhnliche Art von Malware entdeckt.
Diese Malware beschädigt aber nicht etwa die Rechner der Betroffenen, sondern blockt den Zugriff auf Piraterie-Seiten. Sophos-Sicherheitsforscher Andrew Brandt bezeichnet das als einen der "seltsamsten Fälle", den er seit langem gesehen hat: "Anstatt Passwörter zu stehlen oder den Besitzer eines Computers zur Zahlung von Lösegeld zu erpressen, blockiert diese Malware die Computer infizierter Benutzer, indem sie die Hosts-Datei auf dem infizierten System ändert und so den Besuch einer großen Anzahl von Websites verhindert, die sich der Softwarepiraterie verschrieben haben."
Hosts-Datei wird modifiziert
Die Malware tarnt sich als illegale Software und wird über Torrent-Seiten und andere Piraterie-Quellen verteilt. Wer die vermeintliche Software installiert, bekommt eine (gefälschte) Fehlermeldung, die auf ein angebliches Installationsproblem hinweist.
Dabei versucht die Software, Kontakt mit einer ähnlich wie 1fichier klingenden Seite aufzunehmen. Dort wird u. a. eine zweite ausführbare Datei (ProcessHacker.jpg) heruntergeladen und diese modifiziert letztlich die Hosts-Datei auf dem Nutzerrechner. Auf diese Weise können die Seiten modifiziert, also gesperrt werden, auf die ein Nutzer Zugriff hat. Darunter sind einschlägige Angebote wie The Pirate Bay und viele weitere mehr.
Es ist nicht klar, wer dahintersteckt, TorrentFreak meint aber, dass es unwahrscheinlich ist, dass das eine "offizielle" Anti-Piraterie-Maßnahme ist - eher um die Malware einer Piraterie-Seite, die Konkurrenten anvisiert.
Schwerwiegende Folgen hat die Malware nicht, denn um die Änderungen rückgängig zu machen, muss man nur zu C:\Windows\System32\Drivers\etc\hosts navigieren, dort die Hosts-Datei öffnen und alle Einträge, die mit 127.0.0.1 beginnen sowie Piraterie-Seiten wie The Pirate Bay nennen, löschen.
