卡巴斯基：恶意软件开始转型互联网－安全资讯(2)

图4. 修改注册表

wvi.dll负责调用websafe.sys，对websafe.sys发送控制指令，解密配置文件safeini.cfg，向websafe.sys发送解密后的配置信息。websafe.sys得到配置信息后会保存在注册表内。当用户访问网络时，不断的检查用户访问的网站是否可以劫持。如果可以劫持，websafe.sys会过滤用户访问的网址，返回HTTP重定向信息，重定向至黑客事先设计好的网址并访问。比如当用户使用搜索引擎搜索某种商品时，返回的信息会被重定向至推广页面中，而推广页面并不是该商品的官方网站，黑客以此方式劫持用户。

目前，"劫持者"木马能够劫持的网站包括淘宝、百度、京东商城、凡客诚品、谷歌、搜狗、www.atpanel.com等。一旦感染该木马，用户的搜索结果就会被恶意篡改，搜索到的前几个结果均是推广链接，网络黑客则可以从恶意推广中分成，获取经济收入。如下面的截图所示：

图5. 百度被劫持后打开的推广页面

图6. 谷歌被劫持