新型劫持木馬表明惡意軟件開始由單機向互聯(lián)網(wǎng)轉(zhuǎn)型

說起病毒、木馬等惡意軟件，很多網(wǎng)友對其本質(zhì)都比較清楚。以往，這些惡意軟件主要通過網(wǎng)頁掛馬、移動存儲設(shè)備或局域網(wǎng)等途徑進入用戶的計算機。其功能大多是盜取用戶的網(wǎng)銀、網(wǎng)游以及其他網(wǎng)絡(luò)服務(wù)賬號密碼，再利用這些賬號獲取經(jīng)濟利益。從中可以看出，這些惡意軟件的攻擊目標(biāo)是一個個單機用戶，雖然惡意軟件本身可能通過互聯(lián)網(wǎng)進行傳播，但其盈利手段則是靠竊取用戶計算機中的數(shù)據(jù)。

但是，這種情況似乎已經(jīng)開始轉(zhuǎn)變?？ò退够鶎嶒炇以诮衲晗掳肽陻r截到一種能夠劫持用戶對搜索引擎和商業(yè)網(wǎng)站訪問的木馬程序，名為“劫持者”木馬（Trojan-Dropper.Win32.Agent.dqou）。此種惡意程序與以往惡意程序有很大不同，以往的惡意程序利用盜取游戲賬戶、控制用戶計算機、盜取用戶銀行賬戶、盜取QQ密碼等獲得利益。而此種惡意程序則是利用互聯(lián)網(wǎng)謀取利益，這某種程度上標(biāo)志著惡意軟件由單機向互聯(lián)網(wǎng)轉(zhuǎn)型的趨勢。

“劫持者”木馬包含圖形界面，表明上偽裝成某種游戲工具，很多用戶在不知情的情況下會下載和運行該惡意程序，其界面如下圖所示：

圖1. 惡意軟件界面

運行后，該木馬會在當(dāng)前目錄下釋放惡意程序gamechk.dll、wvi.dll，在驅(qū)動目錄釋放惡意驅(qū)動程序websafe.sys。websafe.sys是一種TCP過濾驅(qū)動，會將自身加入至設(shè)備對象鏈的頂端，這意味著用戶的所有網(wǎng)絡(luò)訪問都將由websafe.sys優(yōu)先處理，此種技術(shù)常見于防火墻模塊中，黑客正是使用了此技術(shù)劫持用戶瀏覽網(wǎng)頁。下圖是被加密的配置文件safeini.cfg中的信息：

圖2. 配置文件safeini.cfg

圖3. 配置文件解密后寫入注冊表

圖4. 修改注冊表

wvi.dll負(fù)責(zé)調(diào)用websafe.sys，對websafe.sys發(fā)送控制指令，解密配置文件safeini.cfg，向websafe.sys發(fā)送解密后的配置信息。websafe.sys得到配置信息后會保存在注冊表內(nèi)。當(dāng)用戶訪問網(wǎng)絡(luò)時，不斷的檢查用戶訪問的網(wǎng)站是否可以劫持。如果可以劫持，websafe.sys會過濾用戶訪問的網(wǎng)址，返回HTTP重定向信息，重定向至黑客事先設(shè)計好的網(wǎng)址并訪問。比如當(dāng)用戶使用搜索引擎搜索某種商品時，返回的信息會被重定向至推廣頁面中，而推廣頁面并不是該商品的官方網(wǎng)站，黑客以此方式劫持用戶。