木馬運(yùn)行后的界面分別為:
木馬界面1
木馬界面2
點(diǎn)擊啟動(dòng)游戲和進(jìn)入游戲�����,木馬會(huì)釋放的名稱為spgame.sys的TCP過濾驅(qū)動(dòng),將自身加入至設(shè)備對(duì)象鏈的頂端�����,這意味著用戶的所有網(wǎng)絡(luò)訪問都將由spgame.sys優(yōu)先處理,此種技術(shù)常見于防火墻模塊中��,黑客正是使用了此技術(shù)劫持用戶瀏覽網(wǎng)頁���。其劫持信息均被加密后存儲(chǔ)在特定的文件中�,一般用戶很難破譯�����。其解密后的代碼片段如下:
經(jīng)分析�,我們發(fā)現(xiàn)該木馬的新變種能夠?qū)Χ鄠€(gè)網(wǎng)站以及搜索引擎進(jìn)行劫持,其中包括淘寶�����、百度���、搜狗、當(dāng)當(dāng)網(wǎng)����、卓越、樂淘網(wǎng)����、京東�、凡客等����。系統(tǒng)被感染后,用戶在上網(wǎng)瀏覽時(shí)����,會(huì)被木馬劫持到特定的推廣內(nèi)容。如下圖:
被劫持后訪問百度
通過將大量用戶劫持到推廣網(wǎng)站����,網(wǎng)絡(luò)黑客可以大量獲利。同時(shí)����,為了收集和統(tǒng)計(jì)受感染計(jì)算機(jī)數(shù)量,木馬還會(huì)將感染計(jì)算機(jī)網(wǎng)卡的MAC地址發(fā)送給黑客�。
另外,值得特別注意的是�,此次“劫持者”木馬新變種中竟然包含了可驗(yàn)證的數(shù)字簽名,進(jìn)一步增強(qiáng)了其欺騙性��,甚至可以騙過某些反病毒軟件的檢測(cè)��。如圖:
木馬中包含的數(shù)字簽名
在分析過程中,卡巴斯基實(shí)驗(yàn)室的安全專家還發(fā)現(xiàn)該木馬具有一個(gè)有趣的特性�����,其程序出現(xiàn)錯(cuò)誤或組件被殺毒軟件隔離后�,會(huì)提示用戶是殺毒軟件誤報(bào),并要求用戶在殺毒軟件中設(shè)置排除或添加信任�����。足見該木馬作者的狡猾和奸詐���。如下圖所示:
提醒廣大網(wǎng)民��,不要輕易下載和運(yùn)行來歷不明的程序��,以免感染造成損失����。
