卡巴斯基实验室近日截获到一种名为“百度劫持者”的广告软件样本。此广告软件会直接劫持用户对百度的访问,直接跳转到谷歌。这让很多受感染用户非常苦恼,因为不管用户在浏览器的地址栏怎样输入百度的网址,回车后打开的页面始终都会跳转到谷歌中文的页面。有些用户开始猜疑是否是当地的网络服务商出现了问题,或者是百度故障等原因。但事实上是这些用户感染了上述恶意广告软件,致使用户上网时出现了上述情况。
在介绍“百度劫持者”广告软件时,首先需要对一种木马释放器进行说明。因为上述劫持百度的广告软件一般通过一种名为Trojan-Dropper.Win32.Flystud.qt的木马释放器下载感染用户。卡巴斯基中国病毒实验室分析员对此木马释放器进行技术分析时发现,它是采用E语言编写而成。而且为了欺骗用户运行它进行感染,它会采用Windows的文件夹图标,并以用户现有的文件夹名字命名。如果用户不细心观察,很容易将它误认为就是一个正常文件夹而点击运行。
一旦运行,该木马释放器就会在用户不知情的情况下,在用户计算机系统的system32目录下创建一些文件夹和文件,并且这些文件夹都是隐藏的,一般用户很难发现。如下图所示:
由于此木马释放器是采用E语言编写,其运行还需要E语言支持库。这些隐藏文件夹中就包含其运行所需的库文件。这些隐藏文件夹的创建都是以随机16进制数做为文件夹名。此木马还会查找移动存储设备,一旦发现有移动存储设备,就会将原有移动存储设备中的文件夹隐藏,创建和原文件夹名称一样的并且具有文件夹图标的exe文件进行伪装。而当用户在其它计算机上使用此移动设备时,就很容易将伪装的木马文件认为是自己的文件夹而点击感染。另外,此木马还会在移动存储设备上创建autorun文件,使得用户在双击打开移动存储设备时也会被感染。
此木马会向E语言支持库所在的文件夹中下载文件。这些文件中就包含我们上述的“百度劫持者”广告软件(not-a-virus:AdWare.Win32.FlyStudio.c)。如下列截图所示:
感染用户计算机后,该广告软件会会定时弹出广告窗口,干扰用户正常使用计算机。同时,劫持对百度的访问,使用户在试图访问百度时自动跳转到谷歌。卡巴斯基实验室的病毒分析专家对“百度劫持者”广告软件的代码解密后发现里面包含有google字样。如下图:
目前,卡巴斯基实验室的反病毒产品完全能够查杀该木马释放器以及它下载的广告软件。请用户及时更新病毒定义数据库,及时查杀这类恶意软件。同时建议用户养成良好的上网和操作计算机习惯,提高警惕性,不要打开来历不明的文件或者访问不良网站,以避免感染此类恶意软件,造成不必要的损失或麻烦。
