最近一个月来,各大网络安全论坛、百度贴吧上出现大量网友求助帖:他们的浏览器首页突然变成一个叫“67160网址导航”的陌生网站,同时电脑里莫名其妙地被装上一款名为“金山网盾”的软件。网友以为电脑中了木马病毒,可用大多数杀毒软件去查杀后,却查不出什么毛病来。
安全专家指出,浏览器首页被篡改,属于典型的木马或流氓软件劫持浏览器的现象。但为何中招电脑又会同时出现一款自己并没有安装的安全软件呢?金山公司随后发布的公告作出了解释。原来,是有木马团伙利用金山网盾的安全漏洞,把木马程序和经过改造的“盗版金山网盾”捆绑在一起。如果网民没有主动安装过金山网盾,其电脑上却出现了该软件,那么就意味着这台电脑已经遭到了木马的侵害。
记者从360安全中心了解到,该中心也收到了大量用户对捆绑金山网盾木马的举报。经360安全专家分析,木马之所以会和金山网盾捆绑在一起,是由于金山网盾在运行时,只是按特定路径下的文件名来加载DLL文件,而没有校验这些DLL文件是否安全。这个程序的缺陷就给了黑客作恶的机会:也就是说,黑客就可以用木马程序来伪装金山网盾的文件,当这类“盗版金山网盾”自动运行时,不仅没有安全功能,还会激活隐藏在其中的木马程序。
“由于金山网盾是一款安全软件,大多数安全厂商都会将其自启动项默认为安全。所以,由金山网盾加载的木马就拥有了天然的‘免杀’能力,这也是中招网友杀不到木马病毒的主要原因。”360安全专家警告说:“除了各种劫持首页的木马外,如果金山网盾的安全漏洞不尽快修复,黑客还可能进一步改造金山网盾,用来加载各种盗号木马和远程控制类木马,把安全软件变成一个名副其实的‘木马加载器’,来逃避大多数杀毒软件的查杀。”
据悉,对于此类捆绑利用金山网盾进行传播的木马,360安全卫士和360杀毒软件经过紧急升级后,已能够进行查杀。同时,使用360安全卫士7.0以上版本的“系统修复”功能,还能把被木马篡改的浏览器首页等设置恢复到正常状态。
截止发稿前,金山网盾仍未修复能够加载木马的安全漏洞。
网友评论