針對今年泛濫的“金鎖”木馬家族,360安全中心于10月13日發布木馬分析報告指出,金山網盾等金山旗下多款安全軟件長期存在高危漏洞,而且一直不予修復,已經導致超過100萬網民電腦遭受“金鎖”木馬及其變種的攻擊。在最新出現的“金鎖”木馬變種中,該木馬利用金山網盾漏洞隱蔽啟動,并惡意篡改DNS設置,屏蔽安全廠商的云安全服務器(包括金山自己),對受害用戶造成極大的威脅。
據360安全專家介紹,由于金山網盾沒有對dll組件的合法性進行校驗就直接加載,從而可以被黑客提取金山網盾的文件,和木馬封裝在一起。同時,金山網盾的文件一般被其它安全廠商加入白名單以避免誤報,一但被木馬利用,會導致其它安全軟件也難以查殺。此前,瑞星、360均針對金山網盾漏洞發布多次安全警報,但不知何故,金山方面一直拒不修復漏洞。
360安全專家表示,任何軟件都可能出現漏洞,重要的是及時解決。如果一款軟件因為自身漏洞被木馬打包利用,最合理的解決方式應該是盡快修復漏洞,提示用戶升級版本,并且把已經被木馬利用的軟件版本從白名單中剔除。但金山的做法是長期放任漏洞存在,導致金山網盾等產品的多個版本都可以被木馬隨意利用,組成一套具有 “免殺”能力的“金鎖”木馬家族,對用戶的QQ、網游甚至網上銀行賬戶都造成了極大的威脅。
360安全專家建議廣大使用金山安全軟件的用戶,應密切關注電腦的異常情況,如果出現木馬反復查殺不盡、惡意桌面圖標無法清理等情況,應第一時間向安全廠商求助,或使用360安全衛士徹底查殺木馬,以免造成更嚴重的損失。
附:金山網盾組件校驗漏洞分析
漏洞產生:金山網盾由于未對組件的合法性進行校驗就直接加載,已經被“金鎖”木馬家族惡意利用。
問題版本:KSWebShield.exe ≤2010.8.12.72
簽名公司:Zhuhai Kingsoft Software Co.,Ltd
由于此漏洞存在多處,本處僅以二個DEMO演示。
漏洞利用DEMO(一):
將金山網盾所在目錄下的的kwstray.exe刪除,復制系統目錄下的calc.exe到金山網盾所在目錄并重命名為kwstray.exe,然后執行金山網盾的KWSMain.exe程序。隨后可以看到在金山網盾啟動后,被重命名的calc.exe計算器程序也被執行起來了。如圖1所示。
問題版本:KWSMain.exe≤2010.9.1.17
簽名公司:Zhuhai Kingsoft Software Co.,Ltd
漏洞利用DEMO(二):
將金山網盾所在目錄下的的KSWebShield.exe刪除,復制系統目錄下的calc.exe到金山網盾所在目錄并重命名為KSWebShield.exe,然后執行金山網盾的KWSMain.exe程序。隨后可以看到在金山網盾啟動后,被重命名的calc.exe計算器程序也被執行起來了。如圖2所示。
(責任編輯:陳意)聲明:IT商業新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640. 如果你對網站有好的建議請點擊網站建議發表你的建議。
推薦閱讀
BitDefender發布新產品 專殺超級工廠病毒Stuxnet
BitDefender針對Stuxnet蠕蟲專殺工具可以同時運行在32位和64位系統,可以徹底將它查殺干凈。 精彩推薦 據來自BitDefender中國的最新消 息,BitDefender已發布了針對超級工廠病毒Stuxnet的專殺工具(Stuxnet國內譯成震>>>詳細閱讀
地址:http://m.sdlzkt.com/a/xie/20111230/193361.html
網友點評
精彩導讀
科技快報
品牌展示