自今年4月起,大量360用户在论坛发帖求助:只要一打开浏览器,就会自动访问一个名为"67160网址导航"的陌生网站,里面全是各种诈骗会员费、中奖手续费的虚假信息。经360安全中心分析,这是木马利用金山网盾的漏洞强制锁定了受害网民的浏览器主页,迫使浏览器访问钓鱼诈骗网站,而常规的修改主页设置、编辑注册表等方式根本无法解决。
据360安全专家分析,金山网盾之所以会被木马利用,原因在于它采用了一项存在安全漏洞的"浏览器主页锁定功能"。通常情况下,为了方便用户打开常用的网站,浏览器自身都提供了设定主页的设置。以IE浏览器为例,用户设定的主页网址会保存在注册表的HKEY_CURRENT_USER\Software \Microsoft\Internet Explorer\Main处。而金山网盾的"主页锁定"绕开了这个常规机制,直接把浏览器读取主页网址的请求截取到金山网盾配置文件(kws.ini)设定的网址。这种做法,对用户造成了两项安全风险:
一、近期网上出现大批捆绑金山网盾的木马,这类木马只要把金山网盾中的Kwssp.dll、kwsui.dll、KSWBC.dll、 kswebshield.dll、KSWebShield.exe提取出来,再在配置文件kws.ini中写入了黑客想推广的任意恶意网址,就会让中招用户电脑每天被迫访问这些恶意网址,而且几乎无法修复。受害者除了发现电脑被莫名其妙装了一个叫"金山网盾"的安全软件外,绝对想不到这个软件也正是自己浏览器主页被强锁为恶意网址的原因。至于为何木马能如此轻易捆绑金山网盾并安装到用户电脑中,请参见《金山网盾是如何变成"木马保护伞"的》。
二、对很多网民来说,浏览器主页突然被改已成了检测电脑是否中招的重要标志。但金山网盾只能为用户锁浏览器主页,却不能帮用户杀木马,还能和木马"和平相处"。也就是说,金山网盾用户中了木马,也难以察觉,以为电脑安然无恙,再去登录游戏、网银、QQ等帐号时,反而造成更严重的损失。
针对金山网盾被木马利用一事,金山公司虽然发布了公告,但一个多月来仍没有修复漏洞。360安全中心建议网民:及时检测电脑中是否存在 Kwssp.dll、kwsui.dll、KSWBC.dll、kswebshield.dll、KSWebShield.exe、kws.ini等可能被木马利用的金山文件,并使用360安全卫士最新版对电脑进行安全扫描,排除木马隐患。而360安全卫士7.1版所装备的360"木马防火墙",将让用户电脑对99%的木马完全免疫,从而告别亡羊补牢式的"事后查杀"木马时代。
近期,当金山网盾被大批篡改主页木马利用后,不仅"主页锁定"漏洞迟迟没有修复,反而又曝出一个危害更严重的"文件校验"本地提权漏洞。该漏洞可以让黑客随意加载启动任意木马,同时能使木马变相成为金山网盾的组件,从而躲过所有杀毒软件的查杀。如此一来,安全软件反而成了"木马加载器"和木马的保护伞,这在网络安全行业还是第一次。
经360安全工程师验证,金山网盾通过KSWebShield.exe服务程序开机启动,然后由该程序加载特定目录下的dll文件。由于金山网盾不检查校验这些dll文件的真实性,只是按文件名来加载运行。一旦这些dll文件被木马文件替换,金山网盾就会自动运行该木马文件,同时由于该木马件是由带有金山公司数字签名的金山网盾加载启动的,大多杀毒软件都会将其视为"可信文件"放过。就这样,金山网盾帮木马实现了安全、隐蔽的启动。
据"金山木马"的中招用户反馈:电脑中会出现金山网盾的进程(KSWebShield.exe),同时伴随着电脑卡机、上网变慢等各种现象,但杀毒软件却查不出任何异常。对此,360安全专家解释说,木马要想偷取帐号和隐私,必须先"激活"运行。但由于木马自身的启动项极易被安全软件查杀,因此,存有漏洞的金山网盾反而成了流行木马的常用加载器。
一旦电脑被装上了"金山木马",这些用户的噩梦就开始了:浏览器主页被锁定在恶意诈骗网址难以修复、中了木马毫无察觉直到账号隐私被盗……详情请见"金山网盾如何成为木马通道"分析报告之二《金山网盾"主页锁定"功能是如何帮木马作恶的》。
对于这个安全漏洞,金山公司于4月27日发布的公告中,将此类木马称为"盗版金山网盾",并将责任推给了"恶意木马团伙",还不忘攻击了一把"竞争对手",却丝毫未提及自身产品存在的安全漏洞。截至目前,金山网盾的这一漏洞仍未修复。
附:金山网盾成为木马加载器的技术分析:
金山网盾服务程序KSWebShield.exe提供了"安装服务"和"启动服务"的接口,而KSWebShield.exe没有校验是谁调用了安装服务接口或启动服务接口。从而使木马可以利用现有接口,随意安装并启动该服务。
安装接口是指把以下几个金山网盾的文件放到任意目录:
KSWebShield.exe、KSWBC.dll、kswebshield.dll、kwssp.dll、kwsui.dll
然后,带上-install参数执行上述目录下KSWebShield.exe(此参数为安装服务接口)
再带上-start 参数执行执行上述目录下KSWebShield.exe。(此参数为开启服务接口)
该服务的最小模块只需要以下文件:Kwssp.dll、kwsui.dll、KSWBC.dll和kswebshield.dll。因此,木马只需要先把 KSWebShield.exe和上述4个dll文件捆绑,然后释放到用户计算机的某个目录下,同时,使用"KSWebShield.exe"的"安装服务"接口来安装服务,再使用"启动服务"接口来启动该服务,就可以进一步加载运行任意木马程序。
