恶意软件向互联网转型(1)
说起病毒、木马等恶意软件,很多网友对其本质都比较清楚。以往,这些恶意软件主要通过网页挂马、移动存储设备或局域网等途径进入用户的计算机。其功能大多是盗取用户的网银、网游以及其他网络服务账号密码,再利用这些账号获取经济利益。从中可以看出,这些恶意软件的攻击目标是一个个单机用户,虽然恶意软件本身可能通过互联网进行传播,但其盈利手段则是靠窃取用户计算机中的数据。
但是,这种情况似乎已经开始转变。卡巴斯基实验室在今年下半年拦截到一种能够劫持用户对搜索引擎和商业网站访问的木马程序,名为"劫持者"木马(Trojan-Dropper.Win32.Agent.dqou)。此种恶意程序与以往恶意程序有很大不同,以往的恶意程序利用盗取游戏账户、控制用户计算机、盗取用户银行账户、盗取QQ密码等获得利益。
而此种恶意程序则是利用互联网谋取利益,这某种程度上标志着恶意软件由单机向互联网转型的趋势。
"劫持者"木马包含图形界面,表明上伪装成某种游戏工具,很多用户在不知情的情况下会下载和运行该恶意程序,其界面如下图所示:
图1.恶意软件界面
运行后,该木马会在当前目录下释放恶意程序gamechk.dll、wvi.dll,在驱动目录释放恶意驱动程序websafe.sys。websafe.sys是一种TCP过滤驱动,会将自身加入至设备对象链的顶端,这意味着用户的所有网络访问都将由websafe.sys优先处理,此种技术常见于防火墙模块中,黑客正是使用了此技术劫持用户浏览网页。下图是被加密的配置文件safeini.cfg中的信息:
图2.配置文件safeini.cfg
图3.配置文件解密后写入注册表
网友评论