但是，这种情况似乎已经开始转变。卡巴斯基实验室在今年下半年拦截到一种能够劫持用户对搜索引擎和商业网站访问的木马程序，名为“劫持者”木马（Trojan-Dropper.Win32.Agent.dqou）。此种恶意程序与以往恶意程序有很大不同，以往的恶意程序利用盗取游戏账户、控制用户计算机、盗取用户银行账户、盗取QQ密码等获得利益。

　　而此种恶意程序则是利用互联网谋取利益，这某种程度上标志着恶意软件由单机向互联网转型的趋势。

　　“劫持者”木马包含图形界面，表明上伪装成某种游戏工具，很多用户在不知情的情况下会下载和运行该恶意程序，其界面如下图所示：

　　图1. 恶意软件界面

　　运行后，该木马会在当前目录下释放恶意程序gamechk.dll、wvi.dll，在驱动目录释放恶意驱动程序websafe.sys。websafe.sys是一种TCP过滤驱动，会将自身加入至设备对象链的顶端，这意味着用户的所有网络访问都将由websafe.sys优先处理，此种技术常见于防火墙模块中，黑客正是使用了此技术劫持用户浏览网页。下图是被加密的配置文件safeini.cfg中的信息：

　　图2. 配置文件safeini.cfg

　　图3. 配置文件解密后写入注册表

　　图4. 修改注册表

　　wvi.dll负责调用websafe.sys，对websafe.sys发送控制指令，解密配置文件safeini.cfg，向websafe.sys发送解密后的配置信息。websafe.sys得到配置信息后会保存在注册表内。当用户访问网络时，不断的检查用户访问的网站是否可以劫持。如果可以劫持，websafe.sys会过滤用户访问的网址，返回HTTP重定向信息，重定向至黑客事先设计好的网址并访问。比如当用户使用搜索引擎搜索某种商品时，返回的信息会被重定向至推广页面中，而推广页面并不是该商品的官方网站，黑客以此方式劫持用户。

　　目前，“劫持者”木马能够劫持的网站包括淘宝、百度、京东商城、凡客诚品、谷歌、搜狗、www.atpanel.com等。一旦感染该木马，用户的搜索结果就会被恶意篡改，搜索到的前几个结果均是推广链接，网络黑客则可以从恶意推广中分成，获取经济收入。如下面的截图所示：

　　图5. 百度被劫持后打开的推广页面

　　图6. 谷歌被劫持

　　图7. 淘宝被劫持