卡巴斯基实验室之前对“劫持者”木马(Trojan-Dropper.Win32.Agent.dqou)这一新型的通过互联网盈利的恶意程序进行过详细分析,因为该木马标志着恶意软件开始由单机模式向互联网模式转型。最近,卡巴斯基实验室又截获到该木马的最新变种(Trojan-Dropper.Win32.Agent.fdft),其复杂性和功能有了进一步提升。
新变种有两种程序,均会伪装成游戏工具,诱使计算机用户点击运行。其图标和界面不同,但释放的内容和恶意行为相同。其程序图标如下:
木马运行后的界面分别为:
木马界面1
木马界面2
点击启动游戏和进入游戏,木马会释放的名称为spgame.sys的TCP过滤驱动,将自身加入至设备对象链的顶端,这意味着用户的所有网络访问都将由spgame.sys优先处理,此种技术常见于防火墙模块中,黑客正是使用了此技术劫持用户浏览网页。其劫持信息均被加密后存储在特定的文件中,一般用户很难破译。其解密后的代码片段如下:
经分析,我们发现该木马的新变种能够对多个网站以及搜索引擎进行劫持,其中包括淘宝、百度、搜狗、当当网、卓越、乐淘网、京东、凡客等。系统被感染后,用户在上网浏览时,会被木马劫持到特定的推广内容。如下图:
被劫持后访问百度
通过将大量用户劫持到推广网站,网络黑客可以大量获利。同时,为了收集和统计受感染计算机数量,木马还会将感染计算机网卡的MAC地址发送给黑客。
另外,值得特别注意的是,此次“劫持者”木马新变种中竟然包含了可验证的数字签名,进一步增强了其欺骗性,甚至可以骗过某些反病毒软件的检测。如图:
木马中包含的数字签名
在分析过程中,卡巴斯基实验室的安全专家还发现该木马具有一个有趣的特性,其程序出现错误或组件被杀毒软件隔离后,会提示用户是杀毒软件误报,并要求用户在杀毒软件中设置排除或添加信任。足见该木马作者的狡猾和奸诈。如下图所示:
提醒广大网民,不要轻易下载和运行来历不明的程序,以免感染造成损失。