偷偷把浏览器首页改成金山毒霸 这是要我卸载WPS的节奏吗？

会吃糖的猫

昨天，电脑升级了下WPS。然后，浏览器莫名其妙变成了毒霸网址导航，桌面上还莫名其妙出现一个跟IE图标相仿的快捷方式。用另一台电脑做了下分析，发现WPS最新的安装包内包含金山毒霸组件，只要一升级，电脑的浏览器就会被悄悄篡改为毒霸导航，而且且无法修改。

整个安装过程没有任何提示，且无法复现。但是通过监控可以发现，WPS的目录下有一个可执行文件的名字是 updatetool.exe，文件相对路径为 \Kingsoft\office6\update\down\updatetool.exe。

数字签名人是Beijing Kingsoft Security software Co.,Ltd, 数字签名时间是2014年11月6日 17:28:09，原始文件名为ins.exe。

如果没有参数，直接点击这个文件，还不能成功安装金山安全组件，只要增加命令行参数 -iwu 就可以安装。

安装完成后，桌面产生一个类似IE图标的快捷方式，还会安装一个KSSafe.sys驱动。



通过任务管理器可以看到，有一个ksdefserver.exe程序在默认运行。这个程序开机就启动，无法找到卸载项，所以无法卸载此组件。



安装服务项DefSrv，通过服务项自动启动程序ksdefserver.exe，无法找到卸载项，无法卸载此组件。

可以看到， IE浏览器中被注入了一个kishmpg.dll模块。



打开IE浏览器，自动打开被篡改后的毒霸导航。看到没？网址后半部分有一个推广链接，推广关键字显示该导航来自于wps。




我就呵呵了。WPS给金山毒霸推广要收推广钱？你说你是一个办公软件，这么偷偷默默的在篡改我浏览器首页是不是耍流氓？！

WPS，你这是让我卸载你的节奏啊。

imcw

楼主的图片太模糊了。是转帖呢还是不会截图呢？

galaxynote

wps这佯作太过分了吧，你可只是一个办公软件啊、

清雪一片

加驱的没有好东西。

飞扬丶

楼主 请使用氪金狗眼

谍报213

呵呵。现在是个软件就锁定主页。

goooog

自动加载驱动，流氓行径

s33266383

非常讨厌各种流氓的小动作

zzzz2000zzzz

我是因为他每次自动升级关闭无效换的修改版，没遇到lz这事

atgtj307

我一般在虚拟机中下载安装，之后提取就成绿色版的了，那些组件通通灭掉，没看到这种情况。