說起病毒、木馬等惡意軟件，很多網友對其本質都比較清楚。以往，這些惡意軟件主要通過網頁掛馬、移動存儲設備或局域網等途徑進入用戶的計算機。其功能大多是盜取用戶的網銀、網游以及其他網絡服務賬號密碼，再利用這些賬號獲取經濟利益。從中可以看出，這些惡意軟件的攻擊目標是一個個單機用戶，雖然惡意軟件本身可能通過互聯網進行傳播，但其盈利手段則是靠竊取用戶計算機中的數據。

但是，這種情況似乎已經開始轉變。卡巴斯基實驗室在今年下半年攔截到一種能夠劫持用戶對搜索引擎和商業網站訪問的木馬程序，名為"劫持者"木馬（Trojan-Dropper.Win32.Agent.dqou）。此種惡意程序與以往惡意程序有很大不同，以往的惡意程序利用盜取游戲賬戶、控制用戶計算機、盜取用戶銀行賬戶、盜取QQ密碼等獲得利益。

而此種惡意程序則是利用互聯網謀取利益，這某種程度上標志著惡意軟件由單機向互聯網轉型的趨勢。

"劫持者"木馬包含圖形界面，表明上偽裝成某種游戲工具，很多用戶在不知情的情況下會下載和運行該惡意程序，其界面如下圖所示：

圖1. 惡意軟件界面

運行后，該木馬會在當前目錄下釋放惡意程序gamechk.dll、wvi.dll，在驅動目錄釋放惡意驅動程序websafe.sys。websafe.sys是一種TCP過濾驅動，會將自身加入至設備對象鏈的頂端，這意味著用戶的所有網絡訪問都將由websafe.sys優先處理，此種技術常見于防火墻模塊中，黑客正是使用了此技術劫持用戶瀏覽網頁。下圖是被加密的配置文件safeini.cfg中的信息：

圖2. 配置文件safeini.cfg

圖3. 配置文件解密后寫入注冊表#p#

圖4. 修改注冊表 

wvi.dll負責調用websafe.sys，對websafe.sys發送控制指令，解密配置文件safeini.cfg，向websafe.sys發送解密后的配置信息。websafe.sys得到配置信息后會保存在注冊表內。當用戶訪問網絡時，不斷的檢查用戶訪問的網站是否可以劫持。如果可以劫持，websafe.sys會過濾用戶訪問的網址，返回HTTP重定向信息，重定向至黑客事先設計好的網址并訪問。比如當用戶使用搜索引擎搜索某種商品時，返回的信息會被重定向至推廣頁面中，而推廣頁面并不是該商品的官方網站，黑客以此方式劫持用戶。

目前，"劫持者"木馬能夠劫持的網站包括淘寶、百度、京東商城、凡客誠品、谷歌、搜狗、www.atpanel.com等。一旦感染該木馬，用戶的搜索結果就會被惡意篡改，搜索到的前幾個結果均是推廣鏈接，網絡黑客則可以從惡意推廣中分成，獲取經濟收入。如下面的截圖所示：

圖5. 百度被劫持后打開的推廣頁面

圖6. 谷歌被劫持#p#

圖7. 淘寶被劫持

以在淘寶搜索ThinkPad筆記本為例，如果感染了該木馬，搜索到的結果如下：

圖8. 搜索到的結果非常有限

圖9. 搜索出來的結果是被推廣的店鋪或者寶貝#p#

可以看到，搜索出來的結果不是ThankPad電腦，而是電腦配件。如果用戶計算機沒有感染"劫持者"木馬，則會出現正常的有關ThankPad筆記本電腦的搜索結果，如圖10. 所示：

圖10. 正常的淘寶搜索結果

圖11. 搜狗被劫持

圖12. 京東商城被劫持#p#

圖13. 凡客誠品被劫持

可以看到，該惡意軟件的危害非常嚴重，能夠影響的網站也非常多。網絡黑客正是利用這種對搜索引擎和網站的劫持，將受感染用戶定向到其推廣的網站或鏈接，從而獲取經濟利益，這與以往的惡意軟件有明顯不同。以往的惡意軟件通過掛馬、入侵、下載等方式，盜取用戶信息或控制用戶計算機，通過銷售用戶的QQ賬戶、網游賬戶、Q幣、游戲裝備、肉雞等獲取非法利益。此惡意程序則是將用戶查詢的內容返回成惡意推廣信息，從而使用戶無法準確的查詢到想要的內容，而這些惡意推廣的內容往往存在安全隱患，所以會對用戶計算機安全造成很大威脅。

目前，卡巴斯基系列安全軟件可以全面查殺"劫持者"木馬及其變種。用戶只需保持反病毒數據庫更新，即可及時查殺和攔截該木馬。卡巴斯基實驗室同時提醒廣大網民，不要輕易下載和運行來歷不明的程序，以免感染造成損失。卡巴斯基實驗室將繼續關注此類惡意軟件的發展趨勢，為廣大用戶提供及時可靠的安全保護。