自今年4月起,大量360用户在论坛发帖求助:只要一打开浏览器,就会自动访问一个名为“67160网址导航”的陌生网站,里面全是各种诈骗会员费、中奖手续费的虚假信息。经360安全中心分析,这是木马利用金山网盾的漏洞强制锁定了受害网民的浏览器主页,迫使浏览器访问钓鱼诈骗网站,而常规的修改主页设置、编辑注册表等方式根本无法解决。
据360安全专家分析,金山网盾之所以会被木马利用,原因在于它采用了一项存在安全漏洞的“浏览器主页锁定功能”。通常情况下,为了方便用户打开常用的网站,浏览器自身都提供了设定主页的设置。以IE浏览器为例,用户设定的主页网址会保存在注册表的HKEY_CURRENT_USER\Software \Microsoft\Internet Explorer\Main处。而金山网盾的“主页锁定”绕开了这个常规机制,直接把浏览器读取主页网址的请求截取到金山网盾配置文件(kws.ini)设定的网址。这种做法,对用户造成了两项安全风险:
一、近期网上出现大批捆绑金山网盾的木马,这类木马只要把金山网盾中的Kwssp.dll、kwsui.dll、KSWBC.dll、 kswebshield.dll、KSWebShield.exe提取出来,再在配置文件kws.ini中写入了黑客想推广的任意恶意网址,就会让中招用户电脑每天被迫访问这些恶意网址,而且几乎无法修复。受害者除了发现电脑被莫名其妙装了一个叫“金山网盾”的安全软件外,绝对想不到这个软件也正是自己浏览器主页被强锁为恶意网址的原因。至于为何木马能如此轻易捆绑金山网盾并安装到用户电脑中,请参见《金山网盾是如何变成“木马保护伞”的》。
二、对很多网民来说,浏览器主页突然被改已成了检测电脑是否中招的重要标志。但金山网盾只能为用户锁浏览器主页,却不能帮用户杀木马,还能和木马“和平相处”。也就是说,金山网盾用户中了木马,也难以察觉,以为电脑安然无恙,再去登录游戏、网银、QQ等帐号时,反而造成更严重的损失。
针对金山网盾被木马利用一事,金山公司虽然发布了公告,但一个多月来仍没有修复漏洞。360安全中心建议网民:及时检测电脑中是否存在 Kwssp.dll、kwsui.dll、KSWBC.dll、kswebshield.dll、KSWebShield.exe、kws.ini等可能被木马利用的金山文件,并使用360安全卫士最新版对电脑进行安全扫描,排除木马隐患。而360安全卫士7.1版所装备的360“木马防火墙”,将让用户电脑对99%的木马完全免疫,从而告别亡羊补牢式的“事后查杀”木马时代。