自今年4月起,大量360用戶在論壇發(fā)帖求助:只要一打開瀏覽器,就會自動訪問一個名為“67160網(wǎng)址導(dǎo)航”的陌生網(wǎng)站,里面全是各種詐騙會員費、中獎手續(xù)費的虛假信息。經(jīng)360安全中心分析,這是木馬利用金山網(wǎng)盾的漏洞強制鎖定了受害網(wǎng)民的瀏覽器主頁,迫使瀏覽器訪問釣魚詐騙網(wǎng)站,而常規(guī)的修改主頁設(shè)置、編輯注冊表等方式根本無法解決。
據(jù)360安全專家分析,金山網(wǎng)盾之所以會被木馬利用,原因在于它采用了一項存在安全漏洞的“瀏覽器主頁鎖定功能”。通常情況下,為了方便用戶打開常用的網(wǎng)站,瀏覽器自身都提供了設(shè)定主頁的設(shè)置。以IE瀏覽器為例,用戶設(shè)定的主頁網(wǎng)址會保存在注冊表的HKEY_CURRENT_USERSoftware MicrosoftInternet ExplorerMain處。而金山網(wǎng)盾的“主頁鎖定”繞開了這個常規(guī)機制,直接把瀏覽器讀取主頁網(wǎng)址的請求截取到金山網(wǎng)盾配置文件(kws.ini)設(shè)定的網(wǎng)址。這種做法,對用戶造成了兩項安全風(fēng)險:
一、近期網(wǎng)上出現(xiàn)大批捆綁金山網(wǎng)盾的木馬,這類木馬只要把金山網(wǎng)盾中的Kwssp.dll、kwsui.dll、KSWBC.dll、 kswebshield.dll、KSWebShield.exe提取出來,再在配置文件kws.ini中寫入了黑客想推廣的任意惡意網(wǎng)址,就會讓中招用戶電腦每天被迫訪問這些惡意網(wǎng)址,而且?guī)缀鯚o法修復(fù)。受害者除了發(fā)現(xiàn)電腦被莫名其妙裝了一個叫“金山網(wǎng)盾”的安全軟件外,絕對想不到這個軟件也正是自己瀏覽器主頁被強鎖為惡意網(wǎng)址的原因。至于為何木馬能如此輕易捆綁金山網(wǎng)盾并安裝到用戶電腦中,請參見《金山網(wǎng)盾是如何變成“木馬保護傘”的》。
二、對很多網(wǎng)民來說,瀏覽器主頁突然被改已成了檢測電腦是否中招的重要標(biāo)志。但金山網(wǎng)盾只能為用戶鎖瀏覽器主頁,卻不能幫用戶殺木馬,還能和木馬“和平相處”。也就是說,金山網(wǎng)盾用戶中了木馬,也難以察覺,以為電腦安然無恙,再去登錄游戲、網(wǎng)銀、QQ等帳號時,反而造成更嚴重的損失。
針對金山網(wǎng)盾被木馬利用一事,金山公司雖然發(fā)布了公告,但一個多月來仍沒有修復(fù)漏洞。360安全中心建議網(wǎng)民:及時檢測電腦中是否存在 Kwssp.dll、kwsui.dll、KSWBC.dll、kswebshield.dll、KSWebShield.exe、kws.ini等可能被木馬利用的金山文件,并使用360安全衛(wèi)士最新版對電腦進行安全掃描,排除木馬隱患。而360安全衛(wèi)士7.1版所裝備的360“木馬防火墻”,將讓用戶電腦對99%的木馬完全免疫,從而告別亡羊補牢式的“事后查殺”木馬時代。
進入論壇>>聲明:IT商業(yè)新聞網(wǎng)登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內(nèi)容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
網(wǎng)絡(luò)實名將進入備案階段 信息不實將注銷域名
去年年底中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)宣布.cn域名停止個人用戶注冊,讓國內(nèi)不少個人站長和域名投資者大受打擊。而近期位于廈門的域名注冊機構(gòu)“商務(wù)中國”的一次舉動,又一次在這些人群中激起了一陣波瀾,資料不實>>>詳細閱讀
本文標(biāo)題:金山網(wǎng)盾“主頁鎖定”功能是如何幫木馬作惡的
地址:http://m.sdlzkt.com/a/01/20111231/244216.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示