卡巴斯基:劫持木马 恶意软件开始向互联网转型
12月份美国游戏市场的软件销量前10名
说起病毒、木马等恶意软件,很多网友对其本质都比力清楚。
以往的恶意软件通过挂马、入侵、下载等方式,盗取用户信息或控制用户计算机,通过销售用户的QQ账户、网游账户、Q币、游戏装备、肉鸡等猎取非法长处。
目前,卡巴斯基系列安全软件可以全面查杀“挟制者”木马及其变种。从中可以看出,这些恶意软件的攻击目的是一个个单机用户,虽然恶意软件本身可能通过互联网进行传播,但其盈利本领则是靠窃取用户计算机中的数据。但是,这种情况彷佛已经开始转变。卡巴斯基实行室在本年下半年拦截到一种能够挟制用户对搜索引擎和商业网站访问的木马程序,名为“挟制者”木马(Trojan-Dropper.Win32.Agent.dqou)。
而任天堂一家公司的Wii就比前两者相加还要多,真是实力不容置疑。而此种恶意程序则是使用互联网谋取长处,这某种程度上标志着恶意软件由单机向互联网转型的趋势。 “挟制者”木马包含图形界面,评释上伪装成某种游戏工具,很多用户在不知情的情况下会下载和运行该恶意程序,其界面如下图所示:
图1. 恶意软件界面运行后,该木马会在当前目录下释放恶意程序gamechk.dll、wvi.dll,在驱动目录释放恶意驱动程序websafe.sys。websafe.sys是一种TCP过滤驱动,会将自身参加至设备工具链的顶端,这意味着用户的所有网络访问都将由websafe.sys优先处理,此种技能常见于防火墙模块中,黑客正是利用了此技能挟制用户欣赏网页。
下图是被加密的配置文件safeini.cfg中的信息:
图3. 配置文件解密后写入注册表
图4. 改正注册表 wvi.dll负责调用websafe.sys,对websafe.sys发送控制指令,解密配置文件safeini.cfg,向websafe.sys发送解密后的配置信息。websafe.sys得到配置信息后会保存在注册表内。当用户访问网络时,不断的检查用户访问的网站是否可以挟制。如果可以挟制,websafe.sys会过滤用户访问的网址,返回HTTP重定向信息,重定向至黑客事先设计好的网址并访问。比如当用户利用搜索引擎搜索某种商品时,返回的信息会被重定向至推广页面中,而推广页面并不是该商品的官方网站,黑客以此方式挟制用户。目前,“挟制者”木马能够挟制的网站包罗淘宝、百度、京东商城、凡客诚品、谷歌、搜狗、www.atpanel.com等。一旦感染该木马,用户的搜索成绩就会被恶意篡改,搜索到的前几个成绩均是推广链接,网络黑客则可以从恶意推广中分成,猎取经济收入互联网,软件。如下面的截图所示:
图6. 谷歌被挟制
图7. 淘宝被挟制以在淘宝搜索ThinkPad笔记本为例,如果感染了该木马,搜索到的成绩如下:
图9. 搜索出来的成绩是被推广的店铺或者宝物可以看到,搜索出来的成绩不是ThankPad电脑,而是电脑配件。如果用户计算机没有感染“挟制者”木马,则会出现正常的有关ThankPad笔记本电脑的搜索成绩,如图10. 所示:
图11. 搜狗被挟制
图12. 京东商城被挟制
图13. 凡客诚品被挟制可以看到,该恶意软件的危害非常严重,能够影响的网站也非常多。网络黑客正是使用这种对搜索引擎和网站的挟制,将受感染用户定向到其推广的网站或链接,从而猎取经济长处,这与以往的恶意软件有明显不同。以往,这些恶意软件主要通过网页挂马、移动存储设备或局域网等途径进入用户的计算机。此恶意程序则是将用户查询的内容返回成恶意推广信息,从而利用户无法准确的查询到想要的内容,而这些恶意推广的内容往往存在安全隐患,所以会对用户计算机安全造成很大威胁。其功能大多是盗取用户的网银、网游以及其他网络服务账号密码,再使用这些账号猎取经济长处。用户只需保持反病毒数据库更新,即可及时查杀和拦截该木马。卡巴斯基实行室同时提醒广大网民,不要轻易下载和运行来源不明的程序,以免感染造成损失。卡巴斯基实行室将继续关注此类恶意软件的生长趋势,为广大用户提供及时可靠的安全保护。
00PlayStation3--1,360,000Xbox360--1,310,000PlayStationPortable--654,700PlayStation2--333,200看点:索尼的PS3首次在北美市场得到了100万台的结果,以5万台稍微领先微软高清主机。
此种恶意程序与以往恶意程序有很大不同,以往的恶意程序使用盗取游戏账户、控制用户计算机、盗取用户银行账户、盗取QQ密码等得到长处。其它方面,索尼的PSP和PS2继续滑坡,两种相加也不足100万台。