websafe.sys

此病毒文件会导致谷歌搜索被劫持成无忧导航。

清理方法可以使用搜索，搜索此文件所在位置然后使用文件粉碎。

关注恶意软件：名称：“劫持者”木马（Trojan-Dropper.Win32.Agent.dqou）

大小：1.67 MB

是否加壳：否

影响的平台：WIN9X/ME/NT/2000/XP/2003/Vista/Win7

创建文件：

C:WINDOWSsystem32ad.ini

C:WINDOWSsystem32dvsrec.ini

C:WINDOWSsystem32safeini.cfg

C:WINDOWSsystem32driverswebsafe.sys

.wvi.dll

.gamechk.dll

修改注册表：

HKLMSYSTEMCurrentControlSetServiceswebsafe

HKLMSYSTEMCurrentControlSetServiceswebsafeErrorControl

HKLMSYSTEMCurrentControlSetServiceswebsafeImagePath

HKLMSYSTEMCurrentControlSetServiceswebsafeStart

HKLMSYSTEMCurrentControlSetServiceswebsafeType

HKLMSYSTEMCurrentControlSetControlWebhj

HKLMSYSTEMCurrentControlSetControlWebhjSearch

行为描述：

该恶意程序包含图形界面，表面上是某种游戏工具，但是在其背后却隐藏了恶意行为。感染后，该木马会在当前目录下释放恶意程序gamechk.dll、wvi.dll，在驱动目录释放恶意驱动程序websafe.sys。

websafe.sys是一种TCP过滤驱动，会将自身加入至设备对象链的顶端，这意味着用户的所有网络访问都将由websafe.sys优先处理，此种技术常见于防火墙模块中，黑客正是使用了此技术劫持用户浏览网页。

wvi.dll负责调用websafe.sys，对websafe.sys发送控制指令，解密配置文件safeini.cfg，向websafe.sys发送解密后的配置信息。websafe.sys得到配置信息后会保存在注册表内。当用户访问网络时，不断的检查用户访问的网站是否可以劫持。如果可以劫持，websafe.sys会过滤用户访问的网址，返回HTTP重定向信息，重定向至黑客事先设计好的网址并访问。比如当用户使用搜索引擎搜索某种商品时，返回的信息会被重定向至推广页面中，而推广页面并不是该商品的官方网站，黑客以此方式劫持用户。

被劫持的网站共有：淘宝、王朝、京东商城、凡客诚品、谷歌、搜狗、等。

此种恶意程序与以往恶意程序有很大不同，以往的恶意程序利用盗取游戏账户、控制用户计算机、盗取用户银行账户、盗取QQ密码等获得利益。而此种恶意程序则是利用互联网谋取利益，这某种程度上标志着恶意软件由单机向互联网转型的趋势。

专家预防建议:

建立良好的安全习惯，不打开可疑邮件和可疑网站。

不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。

现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。

安装专业的防毒软件升级到最新版本，并开启实时监控功能。

为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。