近日,"360 U盘保护"木马异常活跃,论坛中大量网友发布求助信息。而"360 U盘保护"木马的罪魁祸首依然是软件漏洞。该木马正是利用了360软件管家、360杀毒两款软件的安全漏洞进行传播攻击的。据悉,此两款软件的漏洞均为木马DLL随意加载漏洞,任何木马均可利用该漏洞对用户电脑发起攻击,危害非常严重。
据金山安全专家李铁军介绍,SoftupNotify.exe(360软件管家)和360nzp.exe(360杀毒)这两个组件都存在dll劫持漏洞。这两个程序启动时没有检查必需的dll文件(somkernl.dll,360nzp.dll)是否为官方程序,从而沦落为木马加载器。
经分析,恶意DLL文件somkernl.dll,360nzp.dll文件可以是任意类型的病毒木马程序,比如远程控制木马,网游盗号木马,后门程序等。病毒作者之所以费劲心机寻找360这两个程序的DLL挟持漏洞是因为大部分安全软件文件采用了数字签名信任机制(会默认允许用户量众多的应用程序运行),从而利用360天生被信任的优势轻松加载精心构造的恶意DLL文件。
以"360 U盘保护"木马为例,用户电脑感染了该木马后,该木马加载以后会在后台默默检测用户电脑内是否存在移动设备(比如U盘,数码相机使用的内存卡,移动硬盘等),一旦发现存在移动设备就蛮横的将用户隐私数据拷贝到一个名为"360安全文件夹"的隐藏文件夹中,同时创建一个名为"360 U盘安全保护.exe"来使得每次用户只能点击此程序U盘才能看到自己的隐私数据,同时木马程序将反复感染用户系统。用户电脑一旦感染该木马,将面临个人隐私信息丢失风险。
安全工程师指出,目前360软件管家和360杀毒老版本仍然没有修补这两个漏洞,大量360用户仍然面临被"360u盘保护"木马攻击的危险。
近年来,以微软操作系统为首的各种应用软件漏洞已经成为病毒木马发起攻击的主要途径。包括adobe、IE等覆盖量很大的知名软件都经常被病毒木马利用。而像360安全卫士之这样的安全软件漏洞被利用对用户来说更具危险性。金山安全公司提醒广大互联网用户,应尽量选择专业安全厂商的产品,减少被病毒木马入侵的危险。
关于金山安全:
北京金山安全软件有限公司成立于2009年11月,总部位于北京,金山安全实验室及金山安全研发中心设立在珠海,其前身是金山软件(HK3888)旗下的毒霸事业部。目前金山安全已经形成了专业杀毒软件产品--金山毒霸;免费电脑安全软件--金山卫士;免费上网安全应用软件--金山网盾;面向企业应用的专业安全产品--金山毒霸网络版和面向手机安全的免费手机安全软件--金山手机安全卫士等产品,全线覆盖了互联网用户安全需求的方方面面,是一家产品全面,服务完整的专业互联网安全企业。
网友评论