自今年4月起,大量360用戶在論壇發帖求助:只要一打開瀏覽器,就會自動訪問一個名為“67160網址導航”的陌生網站,里面全是各種詐騙會員費、中獎手續費的虛假信息。經360安全中心分析,這是木馬利用金山網盾的漏洞強制鎖定了受害網民的瀏覽器主頁,迫使瀏覽器訪問釣魚詐騙網站,而常規的修改主頁設置、編輯注冊表等方式根本無法解決。
5月2日,金山公司發布公告。在公告中,金山聲稱是“流氓程序攻擊”導致用戶下載了“盜版金山網盾”,卻只字不提“木馬”二字。同時,金山還暗指競爭對手制造出所謂的“盜版金山網盾并與木馬刻意捆綁”,并嫁禍于金山網盾。
這樣的構思堪稱離奇。金山做安全軟件還真的是不在行,360推薦金山當導演。
實際上,是木馬有效利用了金山網盾中的安全漏洞,將金山網盾當成了最佳的作惡平臺。換句話說,金山網盾成了木馬加載器。
一、金山網盾為什么會被木馬利用來推廣惡意網址?
金山網盾的一項“瀏覽器主頁鎖定功能”存在安全漏洞。通常情況下,為了方便用戶打開常用的網站,瀏覽器自身都提供了設定主頁的設置,并將主頁的地址存放在注冊表中的一個特定位置。金山網盾為了實現“主頁鎖定”功能,繞開了這個常規機制,直接把瀏覽器讀取主頁網址的請求截取到金山網盾配置文件(kws.ini)設定的網址。然而,木馬捆綁上金山網盾后,利用這個安全漏洞,在金山網盾的配置文件上寫入木馬想要推廣的惡意網址,中招的電腦用戶每天都必須要訪問這些惡意網址了。(詳細閱讀:金山網盾“主頁鎖定”功能是如何幫木馬作惡的)
二、木馬為什么要與金山網盾捆綁在一起?
木馬之所以選擇捆綁金山網盾,是由于金山網盾在運行時,只是按特定路徑下的文件名來加載DLL文件,而沒有校驗這些DLL文件是否安全。這個程序的缺陷就給了黑客作惡的機會。簡單地說,木馬捆綁了金山網盾后,就可以偽裝成金山網盾的文件。被捆綁的金山網盾運行時,不僅沒有安全功能,還會激活隱藏在其中的木馬程序。
由于金山網盾是一款安全軟件,大多數安全廠商都會將金山網盾默認為安全。所以,捆綁了金山網盾的木馬就擁有了天然的“免殺”能力。正因為如此,中招后的網友查不出任何木馬病毒來。(詳細閱讀:金山網盾是如何變成“木馬保護傘”的)
三、金山網盾為什么能夠與木馬和平相處?
金山網盾的一個重要功能是為用戶鎖瀏覽器主頁,但被木馬捆綁金山網盾后,這個功能就失效了。雖然金山網盾是安全軟件,但是卻不能幫用戶殺木馬,反而能與木馬“和平相處”。也就是說,金山網盾用戶中了木馬,也難以察覺,以為電腦安然無恙,再去登錄游戲、網銀、QQ等帳號時,反而造成更嚴重的損失。
金山網盾的這個安全漏洞危害極大。這一次捆綁金山網盾的木馬劫持的只是網民的瀏覽器
推薦閱讀
百度C2C電子商務平臺“有>>>詳細閱讀
本文標題:金山網盾變成了木馬通道 為何向用戶隱瞞
地址:http://m.sdlzkt.com/a/01/20111231/244043.html
網友點評
精彩導讀
科技快報
品牌展示