自今年4月起,大量360用戶在論壇發帖求助:只要一打開瀏覽器,就會自動訪問一個名為“67160網址導航”的陌生網站,里面全是各種詐騙會員費、中獎手續費的虛假信息。經360安全中心分析,這是木馬利用金山網盾的漏洞強制鎖定了受害網民的瀏覽器主頁,迫使瀏覽器訪問釣魚詐騙網站,而常規的修改主頁設置、編輯注冊表等方式根本無法解決。
據360安全專家分析,金山網盾之所以會被木馬利用,原因在于它采用了一項存在安全漏洞的“瀏覽器主頁鎖定功能”。通常情況下,為了方便用戶打開常用的網站,瀏覽器自身都提供了設定主頁的設置。以IE瀏覽器為例,用戶設定的主頁網址會保存在注冊表的HKEY_CURRENT_USERSoftware MicrosoftInternet ExplorerMain處。而金山網盾的“主頁鎖定”繞開了這個常規機制,直接把瀏覽器讀取主頁網址的請求截取到金山網盾配置文件(kws.ini)設定的網址。這種做法,對用戶造成了兩項安全風險:
一、近期網上出現大批捆綁金山網盾的木馬,這類木馬只要把金山網盾中的Kwssp.dll、kwsui.dll、KSWBC.dll、 kswebshield.dll、KSWebShield.exe提取出來,再在配置文件kws.ini中寫入了黑客想推廣的任意惡意網址,就會讓中招用戶電腦每天被迫訪問這些惡意網址,而且幾乎無法修復。受害者除了發現電腦被莫名其妙裝了一個叫“金山網盾”的安全軟件外,絕對想不到這個軟件也正是自己瀏覽器主頁被強鎖為惡意網址的原因。至于為何木馬能如此輕易捆綁金山網盾并安裝到用戶電腦中,請參見《金山網盾是如何變成“木馬保護傘”的》。
二、對很多網民來說,瀏覽器主頁突然被改已成了檢測電腦是否中招的重要標志。但金山網盾只能為用戶鎖瀏覽器主頁,卻不能幫用戶殺木馬,還能和木馬“和平相處”。也就是說,金山網盾用戶中了木馬,也難以察覺,以為電腦安然無恙,再去登錄游戲、網銀、QQ等帳號時,反而造成更嚴重的損失。
針對金山網盾被木馬利用一事,金山公司雖然發布了公告,但一個多月來仍沒有修復漏洞。360安全中心建議網民:及時檢測電腦中是否存在 Kwssp.dll、kwsui.dll、KSWBC.dll、kswebshield.dll、KSWebShield.exe、kws.ini等可能被木馬利用的金山文件,并使用360安全衛士最新版對電腦進行安全掃描,排除木馬隱患。而360安全衛士7.1版所裝備的360“木馬防火墻”,將讓用戶電腦對99%的木馬完全免疫,從而告別亡羊補牢式的“事后查殺”木馬時代。
進入論壇>>聲明:IT商業新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
去年年底中國互聯網絡信息中心(CNNIC)宣布.cn域名停止個人用戶注冊,讓國內不少個人站長和域名投資者大受打擊。而近期位于廈門的域名注冊機構“商務中國”的一次舉動,又一次在這些人群中激起了一陣波瀾,資料不實>>>詳細閱讀
地址:http://www.sdlzkt.com/a/01/20111231/244216.html
網友點評
精彩導讀
科技快報
品牌展示