當(dāng)心“代理木馬”出現(xiàn)新變種

2011年01月18日 09:57

國家計算機病毒應(yīng)急處理中心監(jiān)測發(fā)現(xiàn)，近期出現(xiàn)“代理木馬”新變種(Trojan_Agent.DQOU)。

　　該變種是一種能夠劫持受感染操作系統(tǒng)對搜索引擎和商業(yè)Web網(wǎng)站訪問的惡意木馬程序。以往的惡意程序會入侵感染操作系統(tǒng)并竊取計算機用戶個人的私密賬號和密碼信息等，以此獲取經(jīng)濟利益。而該變種則是利用互聯(lián)網(wǎng)來謀取更大經(jīng)濟利益。

　　變種運行后，會在受感染操作系統(tǒng)的當(dāng)前目錄下釋放惡意程序文件，主要是一些動態(tài)鏈接庫文件，同時在驅(qū)動目錄下釋放惡意驅(qū)動程序。該驅(qū)動程序是一種TCP過濾驅(qū)動，會將其自身加入到系統(tǒng)設(shè)備對象鏈的頂端，導(dǎo)致計算機用戶的所有網(wǎng)絡(luò)訪問都將由該惡意驅(qū)動優(yōu)先處理。惡意攻擊者正是借助此技術(shù)劫持計算機用戶瀏覽過的所有Web網(wǎng)頁信息數(shù)據(jù)。

　　當(dāng)計算機用戶訪問瀏覽Web網(wǎng)站時，該變種會不斷檢查計算機用戶訪問的Web網(wǎng)站是否可以被劫持。如果可以劫持，惡意驅(qū)動程序會過濾計算機用戶訪問的網(wǎng)址信息，返回HTTP重定向信息，重定向至惡意攻擊者事先設(shè)計好的Web網(wǎng)址并瀏覽訪問。

　　另外，一旦操作系統(tǒng)感染該變種，計算機用戶的搜索結(jié)果就會被惡意篡改，搜索到的前幾個結(jié)果均是推廣鏈接。只要受感染的計算機用戶點擊瀏覽這些網(wǎng)頁鏈接，惡意攻擊者就會從惡意推廣的網(wǎng)頁鏈接中獲取經(jīng)濟利益。

（編輯：Jesse）

聯(lián)系我們

郵編

100083

郵箱

ISC@isc.org.cn

地址

北京市海淀區(qū)學(xué)院路42號院
黨建工作辦公室

010-57234929-1057

綜合部

010-57234929-1056

會員部

010-57234929-1120、1121、1122、1123、1125

國際部

010-57234929-1128、010-57234929-1127

宣傳部

010-57234929-1005、010-57234929-1002

監(jiān)管支撐部

010-57234929-1027
網(wǎng)民權(quán)益保護部

010-57234929-1012

產(chǎn)業(yè)促進部

010-57234929-1031、 010-57234929-1032

研究部(標準工作辦公室)

010-57234929-1039、010-57234929-1038

創(chuàng)新發(fā)展與人才工作部

010-57234929-1053、010-57234929-1052

北京中互網(wǎng)來信息技術(shù)有限公司

13910986745