websafe.sys
websafe.sys
此病毒文件会导致谷歌搜索被劫持成无忧导航。
清理方法可以使用搜索,搜索此文件所在位置然后使用文件粉碎。
关注恶意软件:名称:“劫持者”木马(Trojan-Dropper.Win32.Agent.dqou)
大小:1.67 MB
是否加壳:否
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista/Win7
创建文件:
C:\\WINDOWS\\system32\\bad.ini
C:\\WINDOWS\\system32\\dvsrec.ini
C:\\WINDOWS\\system32\\safeini.cfg
C:\\WINDOWS\\system32\\drivers\\websafe.sys
.\\wvi.dll
.\\gamechk.dll
修改注册表:
HKLM\\SYSTEM\\CurrentControlSet\\Services\\websafe\\
HKLM\\SYSTEM\\CurrentControlSet\\Services\\websafe\\ErrorControl
HKLM\\SYSTEM\\CurrentControlSet\\Services\\websafe\\ImagePath
HKLM\\SYSTEM\\CurrentControlSet\\Services\\websafe\\Start
HKLM\\SYSTEM\\CurrentControlSet\\Services\\websafe\\Type
HKLM\\SYSTEM\\CurrentControlSet\\Control\\Webhj
HKLM\\SYSTEM\\CurrentControlSet\\Control\\Webhj\\Search
行为描述:
该恶意程序包含图形界面,表面上是某种游戏工具,但是在其背后却隐藏了恶意行为。感染后,该木马会在当前目录下释放恶意程序gamechk.dll、wvi.dll,在驱动目录释放恶意驱动程序websafe.sys。
websafe.sys是一种TCP过滤驱动,会将自身加入至设备对象链的顶端,这意味着用户的所有网络访问都将由websafe.sys优先处理,此种技术常见于防火墙模块中,黑客正是使用了此技术劫持用户浏览网页。
wvi.dll负责调用websafe.sys,对websafe.sys发送控制指令,解密配置文件safeini.cfg,向websafe.sys发送解密后的配置信息。websafe.sys得到配置信息后会保存在注册表内。当用户访问网络时,不断的检查用户访问的网站是否可以劫持。如果可以劫持,websafe.sys会过滤用户访问的网址,返回HTTP重定向信息,重定向至黑客事先设计好的网址并访问。比如当用户使用搜索引擎搜索某种商品时,返回的信息会被重定向至推广页面中,而推广页面并不是该商品的官方网站,黑客以此方式劫持用户。
被劫持的网站共有:淘宝、百度、京东商城、凡客诚品、谷歌、搜狗、等。
此种恶意程序与以往恶意程序有很大不同,以往的恶意程序利用盗取游戏账户、控制用户计算机、盗取用户银行账户、盗取QQ密码等获得利益。而此种恶意程序则是利用互联网谋取利益,这某种程度上标志着恶意软件由单机向互联网转型的趋势。
专家预防建议:
建立良好的安全习惯,不打开可疑邮件和可疑网站。
不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
安装专业的防毒软件升级到最新版本,并开启实时监控功能。
为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。