websafe.sys是“劫持者”木馬,此病毒檔案會導致谷歌搜尋被劫持成無憂導航。
基本介紹
- 中文名:劫持者”木馬
- 外文名:websafe.sys
- 大小:1.67 MB
- 是否加殼:否
- 能否清理:能
簡介,行為描述,預防建議,
簡介
清理方法可以使用搜尋,搜尋此檔案所在位置然後使用檔案粉碎。
關注惡意軟體:名稱:“劫持者”木馬(Trojan-Dropper.Win32.Agent.dqou)
影響的平台:WIN9X/ME/NT/2000/XP/2003/Vista/Win7
創建檔案:
C:\WINDOWS\system32\bad.ini
C:\WINDOWS\system32\dvsrec.ini
C:\WINDOWS\system32\safeini.cfg
C:\WINDOWS\system32\drivers\websafe.sys
.\wvi.dll
.\gamechk.dll
修改註冊表:
HKLM\SYSTEM\CurrentControlSet\Services\websafe\
HKLM\SYSTEM\CurrentControlSet\Services\websafe\ErrorControl
HKLM\SYSTEM\CurrentControlSet\Services\websafe\ImagePath
HKLM\SYSTEM\CurrentControlSet\Services\websafe\Start
HKLM\SYSTEM\CurrentControlSet\Services\websafe\Type
HKLM\SYSTEM\CurrentControlSet\Control\Webhj
HKLM\SYSTEM\CurrentControlSet\Control\Webhj\Search
行為描述
該惡意程式包含圖形界面,表面上是某種遊戲工具,但是在其背後卻隱藏了惡意行為。感染後,該木馬會在當前目錄下釋放惡意程式gamechk.dll、wvi.dll,在驅動目錄釋放惡意驅動程式websafe.sys。
websafe.sys是一種TCP過濾驅動,會將自身加入至設備對象鏈的頂端,這意味著用戶的所有網路訪問都將由websafe.sys優先處理,此種技術常見於防火牆模組中,黑客正是使用了此技術劫持用戶瀏覽網頁。
wvi.dll負責調用websafe.sys,對websafe.sys傳送控制指令,解密配置檔案safeini.cfg,向websafe.sys傳送解密後的配置信息。websafe.sys得到配置信息後會保存在註冊表內。當用戶訪問網路時,不斷的檢查用戶訪問的網站是否可以劫持。如果可以劫持,websafe.sys會過濾用戶訪問的網址,返回HTTP重定向信息,重定向至黑客事先設計好的網址並訪問。比如當用戶使用搜尋引擎搜尋某種商品時,返回的信息會被重定向至推廣頁面中,而推廣頁面並不是該商品的官方網站,黑客以此方式劫持用戶。
被劫持的網站共有:淘寶、百度、京東商城、凡客誠品、谷歌、搜狗、等。
此種惡意程式與以往惡意程式有很大不同,以往的惡意程式利用盜取遊戲賬戶、控制用戶計算機、盜取用戶銀行賬戶、盜取QQ密碼等獲得利益。而此種惡意程式則是利用網際網路謀取利益,這某種程度上標誌著惡意軟體由單機向網際網路轉型的趨勢。
