说起病毒、木马等恶意软件,很多网友对其本质都比较清楚。以往,这些恶意软件主要通过网页挂马、移动存储设备或局域网等途径进入用户的计算机。其功能大多是盗取用户的网银、网游以及其他网络服务账号密码,再利用这些账号获取经济利益。从中可以看出,这些恶意软件的攻击目标是一个个单机用户,虽然恶意软件本身可能通过互联网进行传播,但其盈利手段则是靠窃取用户计算机中的数据。
但是,这种情况似乎已经开始转变。卡巴斯基实验室在今年下半年拦截到一种能够劫持用户对搜索引擎和商业网站访问的木马程序,名为”劫持者”木马(Trojan-Dropper.Win32.Agent.dqou)。此种恶意程序与以往恶意程序有很大不同,以往的恶意程序利用盗取游戏账户、控制用户计算机、盗取用户银行账户、盗取QQ密码等获得利益。
而此种恶意程序则是利用互联网谋取利益,这某种程度上标志着恶意软件由单机向互联网转型的趋势。
“劫持者”木马包含图形界面,表明上伪装成某种游戏工具,很多用户在不知情的情况下会下载和运行该恶意程序,其界面如下图所示:
图1. 恶意软件界面
运行后,该木马会在当前目录下释放恶意程序gamechk.dll、wvi.dll,在驱动目录释放恶意驱动程序websafe.sys。websafe.sys是一种TCP过滤驱动,会将自身加入至设备对象链的顶端,这意味着用户的所有网络访问都将由websafe.sys优先处理,此种技术常见于防火墙模块中,黑客正是使用了此技术劫持用户浏览网页。下图是被加密的配置文件safeini.cfg中的信息:
图2. 配置文件safeini.cfg
图3. 配置文件解密后写入注册表#p#
图4. 修改注册表
wvi.dll负责调用websafe.sys,对websafe.sys发送控制指令,解密配置文件safeini.cfg,向websafe.sys发送解密后的配置信息。websafe.sys得到配置信息后会保存在注册表内。当用户访问网络时,不断的检查用户访问的网站是否可以劫持。如果可以劫持,websafe.sys会过滤用户访问的网址,返回HTTP重定向信息,重定向至黑客事先设计好的网址并访问。比如当用户使用搜索引擎搜索某种商品时,返回的信息会被重定向至推广页面中,而推广页面并不是该商品的官方网站,黑客以此方式劫持用户。
目前,”劫持者”木马能够劫持的网站包括淘宝、百度、京东商城、凡客诚品、谷歌、搜狗、www.atpanel.com等。一旦感染该木马,用户的搜索结果就会被恶意篡改,搜索到的前几个结果均是推广链接,网络黑客则可以从恶意推广中分成,获取经济收入。如下面的截图所示:
图5. 百度被劫持后打开的推广页面
图6. 谷歌被劫持#p#
图7. 淘宝被劫持
以在淘宝搜索ThinkPad笔记本为例,如果感染了该木马,搜索到的结果如下:
图8. 搜索到的结果非常有限
图9. 搜索出来的结果是被推广的店铺或者宝贝#p#
可以看到,搜索出来的结果不是ThankPad电脑,而是电脑配件。如果用户计算机没有感染”劫持者”木马,则会出现正常的有关ThankPad笔记本电脑的搜索结果,如图10. 所示:
图10. 正常的淘宝搜索结果
图11. 搜狗被劫持
图12. 京东商城被劫持#p#
图13. 凡客诚品被劫持
可以看到,该恶意软件的危害非常严重,能够影响的网站也非常多。网络黑客正是利用这种对搜索引擎和网站的劫持,将受感染用户定向到其推广的网站或链接,从而获取经济利益,这与以往的恶意软件有明显不同。以往的恶意软件通过挂马、入侵、下载等方式,盗取用户信息或控制用户计算机,通过销售用户的QQ账户、网游账户、Q币、游戏装备、肉鸡等获取非法利益。此恶意程序则是将用户查询的内容返回成恶意推广信息,从而使用户无法准确的查询到想要的内容,而这些恶意推广的内容往往存在安全隐患,所以会对用户计算机安全造成很大威胁。
目前,卡巴斯基系列安全软件可以全面查杀”劫持者”木马及其变种。用户只需保持反病毒数据库更新,即可及时查杀和拦截该木马。卡巴斯基实验室同时提醒广大网民,不要轻易下载和运行来历不明的程序,以免感染造成损失。卡巴斯基实验室将继续关注此类恶意软件的发展趋势,为广大用户提供及时可靠的安全保护。
何为恶意破坏软件?
指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。 恶意软件8大特征1、强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。 2、难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。 3、浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。 4、广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。 5、恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。 6、恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。 7、恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。 8、其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。
家用电脑常见网络病毒
引导区病毒: 这类病毒隐藏在硬盘或软盘的引导区,当计算机从感染了引导区病毒的硬盘或软盘启动,或当计算机从受感染的软盘中读取数据时,引导区病毒就开始发作。 一旦它们将自己拷贝到机器的内存中,马上就会感染其他磁盘的引导区,或通过网络传播到其他计算机上。 文件型病毒: 文件型病毒寄生在其他文件中,常常通过对它们的编码加密或使用其他技术来隐藏自己。 文件型病毒劫夺用来启动主程序的可执行命令,用作它自身的运行命令。 同时还经常将控制权还给主程序,伪装计算机系统正常运行。 一旦运行被感染了病毒的程序文件,病毒便被激发,执行大量的操作,并进行自我复制,同时附着在您系统其他可执行文件上伪装自身,并留下标记,以后不再重复感染。 宏病毒: 它是一种特殊的文件型病毒,一些软件开发商在产品研发中引入宏语言,并允许这些产品在生成载有宏的数据文件之后出现。 宏的功能十分强大,但是便给宏病毒留下可乘之机! 脚本病毒: 脚本病毒依赖一种特殊的脚本语言(如:VBScript、JavaScript等)起作用,同时需要主软件或应用环境能够正确识别和翻译这种脚本语言中嵌套的命令。 脚本病毒在某方面与宏病毒类似,但脚本病毒可以在多个产品环境中进行,还能在其他所有可以识别和翻译它的产品中运行。 脚本语言比宏语言更具有开放终端的趋势,这样使得病毒制造者对感染脚本病毒得机器可以有更多的控制力。 网络蠕虫程序: 网络蠕虫程序是一种通过间接方式复制自身非感染型病毒。 有些网络蠕虫拦截E-mail系统向世界各地发送自己的复制品;有些则出现在高速下载站点中同时使用两种方法与其它技术传播自身。 它的传播速度相当惊人,成千上万的病毒感染造成众多邮件服务器先后崩溃,给人们带来难以弥补的损失。 “特洛伊木马”程序: 特洛伊木马程序通常是指伪装成合法软件的非感染型病毒,但它不进行自我复制。 有些木马可以模仿运行环境,收集所需的信息,最常见的木马便是试图窃取用户名和密码的登录窗口,或者试图从众多的Internet服务器提供商(ISP)盗窃用户的注册信息和账号信息。
av终结者是个什么病毒
“AV终结者”即"帕虫"是一系列反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,它指的是一批具备如下破坏性的病毒、木马和蠕虫。 “AV终结者”名称中的“AV”即为英文“反病毒”(An-ti-virus)的缩写。 它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。 同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。 此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。 目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。 “AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:格式化系统盘重装后很容易被再次感染。 用户格式化后,只要双击其他盘符,病毒将再次运行。 “AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。 它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。 传播途径“AV终结者”的重要传播途径是U盘等移动存储介质。 它通过U盘、移动硬盘的自动播放功能传播,建议用户暂时关闭电脑的这一功能。 用户近期一定要注意U盘使用安全,不要在可疑电脑上使用U盘,以免自己的电脑受到传染。 病毒特征这种病毒主要特征有:禁用所有杀毒软件以及相关安全工具,让用户电脑失去安全保障;致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入‘病毒’相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。 病毒现象·1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。 ·2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。 即使手动删除了病毒程序,下次启动这些软件时,还会报错。 ·3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。 ·4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。 为该病毒的下一步破坏打开方便之门。 ·5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。 ·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。 假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。 ·7. 在本地硬盘、U盘或移动硬盘生成和相应的病毒程序文件,通过自动播放功能进行传播。 这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。 ·8. 病毒程序的最终目的是下载更多木马、后门程序。 用户最后受损失的情况取决于这些木马和后门程序。 防范措施对于病毒而言,良好的防范措施,好过中毒之后再绞尽脑汁去寻找查杀方法,而且一旦感染该病毒,清除过程相当复杂,因此,在采访中,金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施:1.保管好自己的U盘,MP3、移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀毒处理,建议采用具有U盘病毒免疫功能的杀毒软件,如KV2007 独有的U盘盾技术,可以免疫所有U盘病毒通过双击U盘时运行。 2. 给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。 3. 即时更新杀毒软件病毒库,做到定时升级,定时杀毒。 4.安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。 5.关闭windows的自动播放功能。 病毒解决方案因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。 推荐的清除步骤如下:1. 在能正常上网的电脑上下载AV终结者病毒专杀工具。 2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。 禁止方法参考方案附件:把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。 3. 执行AV终结者专杀工具,清除已知的病毒,修复被系统配置。 (注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。 )4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。 以清除木马下载器下载的其它病毒。 手动清除办法1.到网上下载IceSword工具,并将该工具改名,如改成 名称,这样就可以突破病毒进程对该工具的屏蔽。 然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。 2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。 再到%windir%\help\目录下,删除同名的或者同名的文件,该文件为系统帮助文件图标。 3. 然后到各个硬盘根目录下面删除 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。 有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。 4.利用IceSword的注册表管理功能,展开注册表项到:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。 当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。 (手动清除办法由江民反病毒专家提供
发表评论