天津1月16日电(记者张建新)国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现“代理木马”新变种(Trojan_Agent.DQOU)。
该变种是一种能够劫持受感染操作系统对搜索引擎和商业Web网站访问的恶意木马程序。该恶意木马程序与以往恶意木马程序有所不同,以往的恶意程序会入侵感染操作系统并窃取计算机用户个人的私密账号和密码信息等,以此获取经济利益。而该变种则是利用互联网来谋取更大经济利益。
变种运行后,会在受感染操作系统的当前目录下释放恶意程序文件,主要是一些动态链接库文件,同时在驱动目录下释放恶意驱动程序。该驱动程序是一种TCP过滤驱动,会将其自身加入到系统设备对象链的顶端,导致计算机用户的所有网络访问都将由该恶意驱动优先处理。恶意攻击者正是借助此技术劫持计算机用户浏览过的所有Web网页信息数据。
当计算机用户访问浏览Web网站时,该变种会不断检查计算机用户访问的Web网站是否可以被劫持。如果可以劫持,恶意驱动程序会过滤计算机用户访问的网址信息,返回HTTP重定向信息,重定向至恶意攻击者事先设计好的Web网址并浏览访问。
另外,一旦操作系统感染该变种,计算机用户的搜索结果就会被恶意篡改,搜索到的前几个结果均是推广链接。只要受感染的计算机用户点击浏览这些网页链接,恶意攻击者就会从恶意推广的网页链接中获取经济利益。
对已经感染该变种的计算机用户,专家建议立即升级系统中的防病毒软件,进行全面杀毒,未感染该变种的用户建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。