木馬運行后的界面分別為:
木馬界面1
木馬界面2
點擊啟動游戲和進入游戲��,木馬會釋放的名稱為spgame.sys的TCP過濾驅(qū)動�����,將自身加入至設(shè)備對象鏈的頂端��,這意味著用戶的所有網(wǎng)絡(luò)訪問都將由spgame.sys優(yōu)先處理���,此種技術(shù)常見于防火墻模塊中,黑客正是使用了此技術(shù)劫持用戶瀏覽網(wǎng)頁���。其劫持信息均被加密后存儲在特定的文件中��,一般用戶很難破譯�。其解密后的代碼片段如下:
經(jīng)分析�,我們發(fā)現(xiàn)該木馬的新變種能夠?qū)Χ鄠€網(wǎng)站以及搜索引擎進行劫持,其中包括淘寶��、百度����、搜狗、當當網(wǎng)����、卓越���、樂淘網(wǎng)、京東����、凡客等。系統(tǒng)被感染后���,用戶在上網(wǎng)瀏覽時����,會被木馬劫持到特定的推廣內(nèi)容����。如下圖:
被劫持后訪問百度
通過將大量用戶劫持到推廣網(wǎng)站,網(wǎng)絡(luò)黑客可以大量獲利����。同時,為了收集和統(tǒng)計受感染計算機數(shù)量�����,木馬還會將感染計算機網(wǎng)卡的MAC地址發(fā)送給黑客。
另外����,值得特別注意的是,此次“劫持者”木馬新變種中竟然包含了可驗證的數(shù)字簽名�,進一步增強了其欺騙性,甚至可以騙過某些反病毒軟件的檢測�����。如圖:
木馬中包含的數(shù)字簽名
在分析過程中���,卡巴斯基實驗室的安全專家還發(fā)現(xiàn)該木馬具有一個有趣的特性,其程序出現(xiàn)錯誤或組件被殺毒軟件隔離后�,會提示用戶是殺毒軟件誤報,并要求用戶在殺毒軟件中設(shè)置排除或添加信任����。足見該木馬作者的狡猾和奸詐。如下圖所示:
提醒廣大網(wǎng)民���,不要輕易下載和運行來歷不明的程序���,以免感染造成損失����。
