说起病毒、木马等恶意软件,很多网友对其本质都比较清楚。以往,这些恶意软件主要通过网页挂马、移动存储设备或局域网等途径进入用户的计算机。其功能大多是盗取用户的网银、网游以及其他网络服务账号密码,再利用这些账号获取经济利益。从中可以看出,这些恶意软件的攻击目标是一个个单机用户,虽然恶意软件本身可能通过互联网进行传播,但其盈利手段则是靠窃取用户计算机中的数据。
但是,这种情况似乎已经开始转变。卡巴斯基实验室在今年下半年拦截到一种能够劫持用户对搜索引擎和商业网站访问的木马程序,名为“劫持者”木马(Trojan-Dropper.Win32.Agent.dqou)。此种恶意程序与以往恶意程序有很大不同,以往的恶意程序利用盗取游戏账户、控制用户计算机、盗取用户银行账户、盗取QQ密码等获得利益。
而此种恶意程序则是利用互联网谋取利益,这某种程度上标志着恶意软件由单机向互联网转型的趋势。
“劫持者”木马包含图形界面,表明上伪装成某种游戏工具,很多用户在不知情的情况下会下载和运行该恶意程序,其界面如下图所示:
▲ 图1. 恶意软件界面
运行后,该木马会在当前目录下释放恶意程序gamechk.dll、wvi.dll,在驱动目录释放恶意驱动程序websafe.sys。websafe.sys是一种TCP过滤驱动,会将自身加入至设备对象链的顶端,这意味着用户的所有网络访问都将由websafe.sys优先处理,此种技术常见于防火墙模块中,黑客正是使用了此技术劫持用户浏览网页。下图是被加密的配置文件safeini.cfg中的信息:
▲图2. 配置文件safeini.cfg
▲图3. 配置文件解密后写入注册表
▲图4. 修改注册表
wvi.dll负责调用websafe.sys,对websafe.sys发送控制指令,解密配置文件safeini.cfg,向websafe.sys发送解密后的配置信息。websafe.sys得到配置信息后会保存在注册表内。当用户访问网络时,不断的检查用户访问的网站是否可以劫持。如果可以劫持,websafe.sys会过滤用户访问的网址,返回HTTP重定向信息,重定向至黑客事先设计好的网址并访问。比如当用户使用搜索引擎搜索某种商品时,返回的信息会被重定向至推广页面中,而推广页面并不是该商品的官方网站,黑客以此方式劫持用户。
目前,“劫持者”木马能够劫持的网站包括淘宝、百度、京东商城、凡客诚品、谷歌、搜狗、www.atpanel.com等。一旦感染该木马,用户的搜索结果就会被恶意篡改,搜索到的前几个结果均是推广链接,网络黑客则可以从恶意推广中分成,获取经济收入。如下面的截图所示:
▲ 图5. 百度被劫持后打开的推广页面
▲图6. 谷歌被劫持
▲图7. 淘宝被劫持
以在淘宝搜索ThinkPad笔记本为例,如果感染了该木马,搜索到的结果如下:
▲图8. 搜索到的结果非常有限
▲图9. 搜索出来的结果是被推广的店铺或者宝贝
可以看到,搜索出来的结果不是ThankPad电脑,而是电脑配件。如果用户计算机没有感染“劫持者”木马,则会出现正常的有关ThankPad笔记本电脑的搜索结果,如图10. 所示:
▲ 图10. 正常的淘宝搜索结果
▲图11. 搜狗被劫持
▲ 图12. 京东商城被劫持
▲图13. 凡客诚品被劫持
可以看到,该恶意软件的危害非常严重,能够影响的网站也非常多。网络黑客正是利用这种对搜索引擎和网站的劫持,将受感染用户定向到其推广的网站或链接,从而获取经济利益,这与以往的恶意软件有明显不同。以往的恶意软件通过挂马、入侵、下载等方式,盗取用户信息或控制用户计算机,通过销售用户的QQ账户、网游账户、Q币、游戏装备、肉鸡等获取非法利益。此恶意程序则是将用户查询的内容返回成恶意推广信息,从而使用户无法准确的查询到想要的内容,而这些恶意推广的内容往往存在安全隐患,所以会对用户计算机安全造成很大威胁。
目前,卡巴斯基系列安全软件可以全面查杀“劫持者”木马及其变种。用户只需保持反病毒数据库更新,即可及时查杀和拦截该木马。卡巴斯基实验室同时提醒广大网民,不要轻易下载和运行来历不明的程序,以免感染造成损失。卡巴斯基实验室将继续关注此类恶意软件的发展趋势,为广大用户提供及时可靠的安全保护。