卡巴斯基：劫持者木马惊现新变种

　　卡巴斯基实验室之前对“劫持者”木马（Trojan-Dropper.Win32.Agent.dqou）这一新型的通过互联网盈利的恶意程序进行过详细分析，因为该木马标志着恶意软件开始由单机模式向互联网模式转型。最近，卡巴斯基实验室又截获到该木马的最新变种（Trojan-Dropper.Win32.Agent.fdft），其复杂性和功能有了进一步提升。　　　　

　　新变种有两种程序，均会伪装成游戏工具，诱使计算机用户点击运行。其图标和界面不同，但释放的内容和恶意行为相同。其程序图标如下：

木马运行后的界面分别为：

木马界面1

木马界面2

　　点击启动游戏和进入游戏，木马会释放的名称为spgame.sys的TCP过滤驱动，将自身加入至设备对象链的顶端，这意味着用户的所有网络访问都将由spgame.sys优先处理，此种技术常见于防火墙模块中，黑客正是使用了此技术劫持用户浏览网页。其劫持信息均被加密后存储在特定的文件中，一般用户很难破译。其解密后的代码片段如下：

　　经分析，我们发现该木马的新变种能够对多个网站以及搜索引擎进行劫持，其中包括淘宝、百度、搜狗、当当网、卓越、乐淘网、京东、凡客等。系统被感染后，用户在上网浏览时，会被木马劫持到特定的推广内容。如下图：

被劫持后访问百度

　　通过将大量用户劫持到推广网站，网络黑客可以大量获利。同时，为了收集和统计受感染计算机数量，木马还会将感染计算机网卡的MAC地址发送给黑客。

　　另外，值得特别注意的是，此次“劫持者”木马新变种中竟然包含了可验证的数字签名，进一步增强了其欺骗性，甚至可以骗过某些反病毒软件的检测。如图：

木马中包含的数字签名

　　在分析过程中，卡巴斯基实验室的安全专家还发现该木马具有一个有趣的特性，其程序出现错误或组件被杀毒软件隔离后，会提示用户是杀毒软件误报，并要求用户在杀毒软件中设置排除或添加信任。足见该木马作者的狡猾和奸诈。如下图所示：

　　目前，卡巴斯基所有安全产品均可以对“劫持者”木马新变种进行查杀。用户只需保持反病毒数据库更新，即可及时查杀和拦截该木马。卡巴斯基实验室同时提醒广大网民，不要轻易下载和运行来历不明的程序，以免感染造成损失。