說(shuō)起病毒、木馬等惡意軟件，很多網(wǎng)友對(duì)其本質(zhì)都比較清楚。以往，這些惡意軟件主要通過(guò)網(wǎng)頁(yè)掛馬、移動(dòng)存儲(chǔ)設(shè)備或局域網(wǎng)等途徑進(jìn)入用戶(hù)的計(jì)算機(jī)。其功能大多是盜取用戶(hù)的網(wǎng)銀、網(wǎng)游以及其他網(wǎng)絡(luò)服務(wù)賬號(hào)密碼，再利用這些賬號(hào)獲取經(jīng)濟(jì)利益。從中可以看出，這些惡意軟件的攻擊目標(biāo)是一個(gè)個(gè)單機(jī)用戶(hù)，雖然惡意軟件本身可能通過(guò)互聯(lián)網(wǎng)進(jìn)行傳播，但其盈利手段則是靠竊取用戶(hù)計(jì)算機(jī)中的數(shù)據(jù)。

但是，這種情況似乎已經(jīng)開(kāi)始轉(zhuǎn)變。卡巴斯基實(shí)驗(yàn)室在今年下半年攔截到一種能夠劫持用戶(hù)對(duì)搜索引擎和商業(yè)網(wǎng)站訪問(wèn)的木馬程序，名為"劫持者"木馬（Trojan-Dropper.Win32.Agent.dqou）。此種惡意程序與以往惡意程序有很大不同，以往的惡意程序利用盜取游戲賬戶(hù)、控制用戶(hù)計(jì)算機(jī)、盜取用戶(hù)銀行賬戶(hù)、盜取QQ密碼等獲得利益。

而此種惡意程序則是利用互聯(lián)網(wǎng)謀取利益，這某種程度上標(biāo)志著惡意軟件由單機(jī)向互聯(lián)網(wǎng)轉(zhuǎn)型的趨勢(shì)。

"劫持者"木馬包含圖形界面，表明上偽裝成某種游戲工具，很多用戶(hù)在不知情的情況下會(huì)下載和運(yùn)行該惡意程序，其界面如下圖所示：

圖1. 惡意軟件界面

運(yùn)行后，該木馬會(huì)在當(dāng)前目錄下釋放惡意程序gamechk.dll、wvi.dll，在驅(qū)動(dòng)目錄釋放惡意驅(qū)動(dòng)程序websafe.sys。websafe.sys是一種TCP過(guò)濾驅(qū)動(dòng)，會(huì)將自身加入至設(shè)備對(duì)象鏈的頂端，這意味著用戶(hù)的所有網(wǎng)絡(luò)訪問(wèn)都將由websafe.sys優(yōu)先處理，此種技術(shù)常見(jiàn)于防火墻模塊中，黑客正是使用了此技術(shù)劫持用戶(hù)瀏覽網(wǎng)頁(yè)。下圖是被加密的配置文件safeini.cfg中的信息：

圖2. 配置文件safeini.cfg

圖3. 配置文件解密后寫(xiě)入注冊(cè)表#p#

圖4. 修改注冊(cè)表 

wvi.dll負(fù)責(zé)調(diào)用websafe.sys，對(duì)websafe.sys發(fā)送控制指令，解密配置文件safeini.cfg，向websafe.sys發(fā)送解密后的配置信息。websafe.sys得到配置信息后會(huì)保存在注冊(cè)表內(nèi)。當(dāng)用戶(hù)訪問(wèn)網(wǎng)絡(luò)時(shí)，不斷的檢查用戶(hù)訪問(wèn)的網(wǎng)站是否可以劫持。如果可以劫持，websafe.sys會(huì)過(guò)濾用戶(hù)訪問(wèn)的網(wǎng)址，返回HTTP重定向信息，重定向至黑客事先設(shè)計(jì)好的網(wǎng)址并訪問(wèn)。比如當(dāng)用戶(hù)使用搜索引擎搜索某種商品時(shí)，返回的信息會(huì)被重定向至推廣頁(yè)面中，而推廣頁(yè)面并不是該商品的官方網(wǎng)站，黑客以此方式劫持用戶(hù)。

目前，"劫持者"木馬能夠劫持的網(wǎng)站包括淘寶、百度、京東商城、凡客誠(chéng)品、谷歌、搜狗、www.atpanel.com等。一旦感染該木馬，用戶(hù)的搜索結(jié)果就會(huì)被惡意篡改，搜索到的前幾個(gè)結(jié)果均是推廣鏈接，網(wǎng)絡(luò)黑客則可以從惡意推廣中分成，獲取經(jīng)濟(jì)收入。如下面的截圖所示：

圖5. 百度被劫持后打開(kāi)的推廣頁(yè)面

圖6. 谷歌被劫持#p#

圖7. 淘寶被劫持

以在淘寶搜索ThinkPad筆記本為例，如果感染了該木馬，搜索到的結(jié)果如下：

圖8. 搜索到的結(jié)果非常有限

圖9. 搜索出來(lái)的結(jié)果是被推廣的店鋪或者寶貝#p#

可以看到，搜索出來(lái)的結(jié)果不是ThankPad電腦，而是電腦配件。如果用戶(hù)計(jì)算機(jī)沒(méi)有感染"劫持者"木馬，則會(huì)出現(xiàn)正常的有關(guān)ThankPad筆記本電腦的搜索結(jié)果，如圖10. 所示：

圖10. 正常的淘寶搜索結(jié)果

圖11. 搜狗被劫持

圖12. 京東商城被劫持#p#

圖13. 凡客誠(chéng)品被劫持

可以看到，該惡意軟件的危害非常嚴(yán)重，能夠影響的網(wǎng)站也非常多。網(wǎng)絡(luò)黑客正是利用這種對(duì)搜索引擎和網(wǎng)站的劫持，將受感染用戶(hù)定向到其推廣的網(wǎng)站或鏈接，從而獲取經(jīng)濟(jì)利益，這與以往的惡意軟件有明顯不同。以往的惡意軟件通過(guò)掛馬、入侵、下載等方式，盜取用戶(hù)信息或控制用戶(hù)計(jì)算機(jī)，通過(guò)銷(xiāo)售用戶(hù)的QQ賬戶(hù)、網(wǎng)游賬戶(hù)、Q幣、游戲裝備、肉雞等獲取非法利益。此惡意程序則是將用戶(hù)查詢(xún)的內(nèi)容返回成惡意推廣信息，從而使用戶(hù)無(wú)法準(zhǔn)確的查詢(xún)到想要的內(nèi)容，而這些惡意推廣的內(nèi)容往往存在安全隱患，所以會(huì)對(duì)用戶(hù)計(jì)算機(jī)安全造成很大威脅。

目前，卡巴斯基系列安全軟件可以全面查殺"劫持者"木馬及其變種。用戶(hù)只需保持反病毒數(shù)據(jù)庫(kù)更新，即可及時(shí)查殺和攔截該木馬。卡巴斯基實(shí)驗(yàn)室同時(shí)提醒廣大網(wǎng)民，不要輕易下載和運(yùn)行來(lái)歷不明的程序，以免感染造成損失。卡巴斯基實(shí)驗(yàn)室將繼續(xù)關(guān)注此類(lèi)惡意軟件的發(fā)展趨勢(shì)，為廣大用戶(hù)提供及時(shí)可靠的安全保護(hù)。