hosts代理模式區别?Sophos 剛剛報道了一款名叫 Vigilante 的惡意軟件，但其行為卻讓許多受害者感到不解與其它專注于偷密碼、搞破壞、或勒索贖金的惡意軟件不同，Vigilante 會通過修改 Hosts 文件來阻止受害者訪問包括海盜灣（The Pirate Bay）等盜版資源網站與此同時，它還會下載第二款名叫 ProcessHakcer.jpg 的惡意軟件，但它其實是一個可執行文件，下面我們就來聊聊關于hosts代理模式區别?接下來我們就一起去了解一下吧!

hosts代理模式區别

Sophos 剛剛報道了一款名叫 Vigilante 的惡意軟件，但其行為卻讓許多受害者感到不解。與其它專注于偷密碼、搞破壞、或勒索贖金的惡意軟件不同，Vigilante 會通過修改 Hosts 文件來阻止受害者訪問包括海盜灣（The Pirate Bay）等盜版資源網站。與此同時，它還會下載第二款名叫 ProcessHakcer.jpg 的惡意軟件，但它其實是一個可執行文件。

截圖（來自：Sophos）

對于有一定計算機技能的網友來說，修改 Hosts 文件是阻止計算機訪問特定 Web 服務的一個“簡單粗暴”的方法。

不過 Vigilante 并不會持久維護這份 Hosts 黑名單，除非受害者第二次運行了這款惡意軟件。

從進程監視器的日志記錄來看，某個僞造身份的惡意軟件篡改了系統自帶的 Hosts 文件。

我們無法辨别該惡意軟件到底是從哪來的，但它的動機似乎很明确 —— 阻止受害者訪問盜版軟件網站。

惡意軟件自帶的黑名單，涵蓋了 1000 的網站域名，并将之 IP 地址重定向到了本地回路（127.0.0.1）。

通過進一步的分析，Sophos 指出某些惡意軟件會将自己僞裝成各種軟件包的盜版副本，然後托管在 Discord 這樣的遊戲或聊天服務器上。

另外也有一些惡意軟件會通過 BT 渠道進行分發，比如假冒成熱門遊戲、生産力工具、甚至安全軟件。

但如果仔細觀察，你會發現它們往往夾帶了一些私貨（附有其它可疑的文件）。

在 VirusTotal 上檢索相關樣本時，可以發現數以百計的不同名稱，比如《求生之路 2》（v2.2.0.1 Last Stand DLCs MULTi19）和《我的世界》（1.5.2 破解版 [Full Installer] [Online] [Server List]”。

不過托管在 Discord 上的共享文件，往往是單獨的一個可執行文件，而通過 BT 打包來分發的方式，則更類似于傳統的盜版途徑（添加到一個壓縮包中，包含一個文本文件、其它輔助文件、以及指向盜版網站的鍊接）。

在惡意軟件夾帶的可執行文件中，有一些還僞造了數字簽名。但在證書簽發機構這一欄，都是一長串的 18 個随機大寫字母。

至于證書的有效期，大部分文件都是從下載首日開始算起的，到期日則是 2039 年 12 月 31 日。

惡意可執行文件的屬性表，同樣與惡意軟件的真身不符。即便大多數都自诩為某款遊戲、或生産力軟件的全功能已授權副本的安裝程序，但惡意軟件制作者似乎并不在意這些細節。

如果在受害者計算機上順利運行，用戶能感知到的時間也非常短暫。在雙擊過後，它會彈出一條“缺乏 MSVCR100.dll”而無法啟動程序的提示，并建議重裝以修複該問題。

通過進程監視器，Sophos 安全研究人員發現它根本沒有調用過 WindowsAPI 來查詢這個動态鍊接庫文件，意味着該惡意軟件隻是在虛張聲勢。

而且就算你的系統裡已經有 MSVCR100.dll，這對話框還是會無腦地彈出。當然，Vigilante 也不是完全“沒幹正事”，比如它會在運行時檢查能否建立出站網絡連接。

可以的話，Vigilante 會嘗試聯系 1flchier[.]com 這個域名上的某個網址（注意并不是雲存儲服務提供商 1fichier 的克隆，第三個字符是 l 不是 I）。

諷刺的是，即使惡意軟件會對這些請求使用相同的用戶代理（User-Agent）字符串（Mozilla/5.0 Gecko/41.0 Firefox/41.0），但被其篡改的 Hosts 文件竟然也阻止了受害者訪問合法的 1fichier 域名。

此外該惡意軟件樣本執行了兩個 HTTP GET 請求，其一是搜索名為 ProcessHacker.jpg 文件（輔助可執行負載），其二是通過查詢字符串，将運行的可執行文件的名稱發送給網站運營者。

此外 ProcesserHacker 的二進制文件也表現出了一些有趣的特性，比如設置了 whoareyoutellmeandilltellyouwho 這個互斥鎖，以确保隻會運行自身的一份副本。

最後，如果創建了一個零字節的“7686789678967896789678”和“412412512512512”文件，并将之放到特定的 %PATH% 文件路徑，Vigilante 就不會在啟動時篡改 Hosts 文件。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!