日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
新型劫持木馬表明惡意軟件開始由單機向互聯(lián)網(wǎng)轉(zhuǎn)型

說起病毒、木馬等惡意軟件,很多網(wǎng)友對其本質(zhì)都比較清楚。以往,這些惡意軟件主要通過網(wǎng)頁掛馬、移動存儲設(shè)備或局域網(wǎng)等途徑進入用戶的計算機。其功能大多是盜取用戶的網(wǎng)銀、網(wǎng)游以及其他網(wǎng)絡(luò)服務(wù)賬號密碼,再利用這些賬號獲取經(jīng)濟利益。從中可以看出,這些惡意軟件的攻擊目標是一個個單機用戶,雖然惡意軟件本身可能通過互聯(lián)網(wǎng)進行傳播,但其盈利手段則是靠竊取用戶計算機中的數(shù)據(jù)。

讓客戶滿意是我們工作的目標,不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴,公司提供的服務(wù)項目有:主機域名、網(wǎng)頁空間、營銷軟件、網(wǎng)站建設(shè)、大寧網(wǎng)站維護、網(wǎng)站推廣。

但是,這種情況似乎已經(jīng)開始轉(zhuǎn)變??ò退够鶎嶒炇以诮衲晗掳肽陻r截到一種能夠劫持用戶對搜索引擎和商業(yè)網(wǎng)站訪問的木馬程序,名為"劫持者"木馬(Trojan-Dropper.Win32.Agent.dqou)。此種惡意程序與以往惡意程序有很大不同,以往的惡意程序利用盜取游戲賬戶、控制用戶計算機、盜取用戶銀行賬戶、盜取QQ密碼等獲得利益。

而此種惡意程序則是利用互聯(lián)網(wǎng)謀取利益,這某種程度上標志著惡意軟件由單機向互聯(lián)網(wǎng)轉(zhuǎn)型的趨勢。

"劫持者"木馬包含圖形界面,表明上偽裝成某種游戲工具,很多用戶在不知情的情況下會下載和運行該惡意程序,其界面如下圖所示:

圖1. 惡意軟件界面

運行后,該木馬會在當前目錄下釋放惡意程序gamechk.dll、wvi.dll,在驅(qū)動目錄釋放惡意驅(qū)動程序websafe.sys。websafe.sys是一種TCP過濾驅(qū)動,會將自身加入至設(shè)備對象鏈的頂端,這意味著用戶的所有網(wǎng)絡(luò)訪問都將由websafe.sys優(yōu)先處理,此種技術(shù)常見于防火墻模塊中,黑客正是使用了此技術(shù)劫持用戶瀏覽網(wǎng)頁。下圖是被加密的配置文件safeini.cfg中的信息:

圖2. 配置文件safeini.cfg

圖3. 配置文件解密后寫入注冊表#p#

圖4. 修改注冊表

wvi.dll負責調(diào)用websafe.sys,對websafe.sys發(fā)送控制指令,解密配置文件safeini.cfg,向websafe.sys發(fā)送解密后的配置信息。websafe.sys得到配置信息后會保存在注冊表內(nèi)。當用戶訪問網(wǎng)絡(luò)時,不斷的檢查用戶訪問的網(wǎng)站是否可以劫持。如果可以劫持,websafe.sys會過濾用戶訪問的網(wǎng)址,返回HTTP重定向信息,重定向至黑客事先設(shè)計好的網(wǎng)址并訪問。比如當用戶使用搜索引擎搜索某種商品時,返回的信息會被重定向至推廣頁面中,而推廣頁面并不是該商品的官方網(wǎng)站,黑客以此方式劫持用戶。

目前,"劫持者"木馬能夠劫持的網(wǎng)站包括淘寶、百度、京東商城、凡客誠品、谷歌、搜狗、www.atpanel.com等。一旦感染該木馬,用戶的搜索結(jié)果就會被惡意篡改,搜索到的前幾個結(jié)果均是推廣鏈接,網(wǎng)絡(luò)黑客則可以從惡意推廣中分成,獲取經(jīng)濟收入。如下面的截圖所示:

圖5. 百度被劫持后打開的推廣頁面

圖6. 谷歌被劫持#p#

圖7. 淘寶被劫持

以在淘寶搜索ThinkPad筆記本為例,如果感染了該木馬,搜索到的結(jié)果如下:

圖8. 搜索到的結(jié)果非常有限

圖9. 搜索出來的結(jié)果是被推廣的店鋪或者寶貝#p#

可以看到,搜索出來的結(jié)果不是ThankPad電腦,而是電腦配件。如果用戶計算機沒有感染"劫持者"木馬,則會出現(xiàn)正常的有關(guān)ThankPad筆記本電腦的搜索結(jié)果,如圖10. 所示:

圖10. 正常的淘寶搜索結(jié)果

圖11. 搜狗被劫持

圖12. 京東商城被劫持#p#

圖13. 凡客誠品被劫持

可以看到,該惡意軟件的危害非常嚴重,能夠影響的網(wǎng)站也非常多。網(wǎng)絡(luò)黑客正是利用這種對搜索引擎和網(wǎng)站的劫持,將受感染用戶定向到其推廣的網(wǎng)站或鏈接,從而獲取經(jīng)濟利益,這與以往的惡意軟件有明顯不同。以往的惡意軟件通過掛馬、入侵、下載等方式,盜取用戶信息或控制用戶計算機,通過銷售用戶的QQ賬戶、網(wǎng)游賬戶、Q幣、游戲裝備、肉雞等獲取非法利益。此惡意程序則是將用戶查詢的內(nèi)容返回成惡意推廣信息,從而使用戶無法準確的查詢到想要的內(nèi)容,而這些惡意推廣的內(nèi)容往往存在安全隱患,所以會對用戶計算機安全造成很大威脅。

目前,卡巴斯基系列安全軟件可以全面查殺"劫持者"木馬及其變種。用戶只需保持反病毒數(shù)據(jù)庫更新,即可及時查殺和攔截該木馬??ò退够鶎嶒炇彝瑫r提醒廣大網(wǎng)民,不要輕易下載和運行來歷不明的程序,以免感染造成損失??ò退够鶎嶒炇覍⒗^續(xù)關(guān)注此類惡意軟件的發(fā)展趨勢,為廣大用戶提供及時可靠的安全保護。


分享名稱:新型劫持木馬表明惡意軟件開始由單機向互聯(lián)網(wǎng)轉(zhuǎn)型
當前URL:http://www.dlmjj.cn/article/dpooego.html