近期,當金山網盾被大批篡改主頁木馬利用后,不僅“主頁鎖定”漏洞遲遲沒有修復,反而又曝出一個危害更嚴重的“文件校驗”本地提權漏洞。該漏洞可以讓黑客隨意加載啟動任意木馬,同時能使木馬變相成為金山網盾的組件,從而躲過所有殺毒軟件的查殺。如此一來,安全軟件反而成了“木馬加載器”和木馬的保護傘,這在網絡安全行業還是第一次。
經360安全工程師驗證,金山網盾通過KSWebShield.exe服務程序開機啟動,然后由該程序加載特定目錄下的dll文件。由于金山網盾不檢查校驗這些dll文件的真實性,只是按文件名來加載運行。一旦這些dll文件被木馬文件替換,金山網盾就會自動運行該木馬文件,同時由于該木馬件是由帶有金山公司數字簽名的金山網盾加載啟動的,大多殺毒軟件都會將其視為“可信文件”放過。就這樣,金山網盾幫木馬實現了安全、隱蔽的啟動。
據“金山木馬”的中招用戶反饋:電腦中會出現金山網盾的進程(KSWebShield.exe),同時伴隨著電腦卡機、上網變慢等各種現象,但殺毒軟件卻查不出任何異常。對此,360安全專家解釋說,木馬要想偷取帳號和隱私,必須先“激活”運行。但由于木馬自身的啟動項極易被安全軟件查殺,因此,存有漏洞的金山網盾反而成了流行木馬的常用加載器。
一旦電腦被裝上了“金山木馬”,這些用戶的噩夢就開始了:瀏覽器主頁被鎖定在惡意詐騙網址難以修復、中了木馬毫無察覺直到賬號隱私被盜……詳情請見“金山網盾如何成為木馬通道”分析報告之二《金山網盾“主頁鎖定”功能是如何幫木馬作惡的》。
對于這個安全漏洞,金山公司于4月27日發布的公告中,將此類木馬稱為“盜版金山網盾”,并將責任推給了“惡意木馬團伙”,還不忘攻擊了一把“競爭對手”,卻絲毫未提及自身產品存在的安全漏洞。截至目前,金山網盾的這一漏洞仍未修復。
進入論壇>>聲明:IT商業新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
近日攜程副總裁莊宇翔發表博文炮轟酒店、機票盲目直銷,禍害旅游業。針對中國在線旅游行業發展的相關問題,5月21日雅虎科技專訪了中國知名旅游搜索網站酷訊網CEO張海軍。 近日攜程副總裁莊宇翔發表博文炮轟酒店、機票>>>詳細閱讀
本文標題:金山網盾是如何變成“木馬保護傘”的
地址:http://www.sdlzkt.com/a/01/20111231/244226.html
網友點評
精彩導讀
科技快報
品牌展示