卡巴斯基:恶意软件开始向互联网转型
泡泡网软件频道12月27日 说起病毒、木马等恶意软件,很多网友对其本质都比较清楚。以往,这些恶意软件主要通过网页挂马、移动存储设备或局域网等途径进入用户的计算机。其功能大多是盗取用户的网银、网游以及其他网络服务账号密码,再利用这些账号获取经济利益。从中可以看出,这些恶意软件的攻击目标是一个个单机用户,虽然恶意软件本身可能通过互联网进行传播,但其盈利手段则是靠窃取用户计算机中的数据。
但是,这种情况似乎已经开始转变。卡巴斯基实验室在今年下半年拦截到一种能够劫持用户对搜索引擎和商业网站访问的木马程序,名为“劫持者”木马(Trojan-Dropper.Win32.Agent.dqou)。此种恶意程序与以往恶意程序有很大不同,以往的恶意程序利用盗取游戏账户、控制用户计算机、盗取用户银行账户、盗取QQ密码等获得利益。而此种恶意程序则是利用互联网谋取利益,这某种程度上标志着恶意软件由单机向互联网转型的趋势。
“劫持者”木马包含图形界面,表明上伪装成某种游戏工具,很多用户在不知情的情况下会下载和运行该恶意程序,其界面如下图所示:
运行后,该木马会在当前目录下释放恶意程序gamechk.dll、wvi.dll,在驱动目录释放恶意驱动程序websafe.sys。websafe.sys是一种TCP过滤驱动,会将自身加入至设备对象链的顶端,这意味着用户的所有网络访问都将由websafe.sys优先处理,此种技术常见于防火墙模块中,黑客正是使用了此技术劫持用户浏览网页。下图是被加密的配置文件safeini.cfg中的信息:
配置文件解密后写入注册表
wvi.dll负责调用websafe.sys,对websafe.sys发送控制指令,解密配置文件safeini.cfg,向websafe.sys发送解密后的配置信息。websafe.sys得到配置信息后会保存在注册表内。当用户访问网络时,不断的检查用户访问的网站是否可以劫持。如果可以劫持,websafe.sys会过滤用户访问的网址,返回HTTP重定向信息,重定向至黑客事先设计好的网址并访问。比如当用户使用搜索引擎搜索某种商品时,返回的信息会被重定向至推广页面中,而推广页面并不是该商品的官方网站,黑客以此方式劫持用户。