360安全中心今日发布橙色木马疫情播报,“金锁”木马大规模利用金山网盾强锁用户首页

x64hips

360安全中心今日发布橙色木马疫情播报，一款名为“金锁”的恶性木马（瑞星命名“Trojan.Win32.Generic.12337DB7”）近期感染量剧增，它利用了金山网盾的设计缺陷，实现自我隐蔽、篡改并强制锁定用户IE浏览器首页，并在电脑桌面释放“情色电影”、“淘宝购物”、“在线小游戏”等恶 意广告图标，最近100小时内已有超过25万台电脑受害。为此，360安全卫士已紧急升级，可为用户查杀和预防该木马，并修复浏览器首页和桌面图标。     360工程师介绍说，利用金山网盾篡改首页的木马最早出现在今年4月，“金锁”木马是其最新的变种。今年5月2日，金山公司专门发布了公告，承认这一类利用金山网盾的恶意行为，是“流氓程序攻击”导致用户下载了“盗版金山网盾”，并提供了清理办法。但自7月30日开始，黑客又找到了金山网盾新的设计缺陷，并再度利用该软件来疯狂地攻击普通网民。360急救箱在4月份开始提供查杀，截止8月2日24时，360急救箱已累计查杀超过30万。而根据最近4天来360木马云查杀的数据，感染“金锁”木马的电脑数急剧新增了25.22万。这意味，至今已有超过45万网民的电脑因此而中招，而该数据还仅是360用户中的数据。     “由于金山网盾带有‘浏览器主页锁定’功能，而它某些版本的程序配置文件没有经过加密，因此被黑客用来制作木马，不光篡改IE首页，还会在桌面和快速启动栏创建大量恶意网址链接。”360安全工程师介绍说，如果电脑出现类似故障，而且能在硬盘中搜到kws.ini、KSWebShield.exe等文件，说明已经感染了“金锁”木马。     根据360安全中心监测数据，“金锁”木马主要利用不良下载站传播，特别是在某些欺诈网友点击的大图片下载链接中，比如“迅雷下载”、“联通下载”和“电信下载”，很多都指向了“金锁”木马，让网友下载后点击就中招。由于金山网盾属于正规安全软件，大多数杀毒软件将其收入了白名单，因而无法查杀“金锁”木马，所以危害尤其严重。 图1、“金锁”木马中招现象：IE首页被篡改为“导航啦” 图2：受到“金锁”木马利用的金山网盾数字签名来自珠海金山软件公司     无独有偶，瑞星“云安全”系统近期也截获了“金锁”木马的样本并发布公告,称Trojan.Win32.Generic.12337DB7利用一款安全软件来篡改用户浏览器的首页。由于其带有篡改浏览器首页的功能，导致用户的浏览器被强行锁定为恶意网址。 图3：瑞星官网发布安全公告     360安全专家表示，目前360安全卫士已经实现了对“金锁”木马的防护和查杀。一旦发现上述症状的用户，请立即在联网状态下使用360木马云查杀扫描，就能彻底清除该木马；同时，所有开启了360木马防火墙的360用户电脑也都能对该木马进行有效防护。     关于360安全中心     360安全中心2006年7月成立，是一家基于互联网平台的新兴网络安全公司，信奉“用互联网发动人民战争，绞杀木马产业链”。其创新的“云安全”技术，成立之初就发动网民共同参与，对流氓软件和木马、插件形成了致命的打击，360也由此赢得了网民和市场。360旗下免费的360安全卫士、360杀毒、360安全浏览器、360保险箱和360软件管家、360手机卫士等系列产品，为网民构筑了一个互联网和手机的安全防线，全方位保护网民上网安全。

巫谢

一定会有人来喷的

不差钱

等待口水

333433

我靠。。。这帖子。。。。找喷的吗？

jinzijie

抢MJ前排！！[:27:]

whoamisd

这个是瑞星的连接

http://it.rising.com.cn/info/2010-07-30/7942.html

某安全软件被病毒利用 篡改IE首页后用户无法修复
2010-07-30 10:03:46 瑞星公司
摘要：近日，瑞星“云安全”系统截获一个恶性木马Trojan.Win32.Generic.12337DB7，该病毒利用某安全软件篡改用户浏览器首页。由于该安全工具带有强制锁定IE浏览器首页功能。
近日，瑞星“云安全”系统截获一个恶性木马Trojan.Win32.Generic.12337DB7，该病毒利用某安全软件篡改用户浏览器首页。由于该安全工具带有强制锁定IE浏览器首页功能，用户电脑被病毒侵害后，无法修复，从而获取广告利润。

据介绍，该安全软件本身具有保护浏览器安全，防止首页被改的功能，但由于旧版程序配置文件没有经过加密，被黑客利用后，实现了病毒功能。病毒为了利用安全软件的这个功能，甚至在自身带了一个精简版的安装程序。由于该程序属于正规商业程序，即使别的杀毒软件知道他被病毒利用，也无法对其进行查杀。

瑞星安全工程师介绍，该木马病毒是瑞星“云安全”系统自动收集处理的，但从数量上看单日截获量超过1.2万。病毒由Autoit脚本编写，运行后会在桌面和快速启动栏创建指向恶意网址的链接，并利用安全工具锁定主页功能的缺陷锁定IE主页。同时将恶意链接进行保护，使用户无法删除文件。





病毒首先在%Appdata%（通常为：C:\Documents and Settings\All Users\Application Data）中创建该安全软件文件夹，将经过精简的主程序释放到此处。并在其配置文件（kws.ini）中写入特定网址，通过该功能锁定主页。同时将360.com等网站列入恶意网址中（spitesp.dat），用户访问这些网站时，会自动跳转到恶意网址导航页面。



瑞星安全专家提醒网民，该病毒是瑞星“云安全”系统自动分析处理的，所有瑞星用户已经具有防范和查杀该木马的能力，非瑞星用户如果感染，可以在安全模式下删除病毒文件，恢复正常首页设置。

lwzy2046

回复 1楼 x64hips  的帖子

mj要是不忙，去看看飘那个帖子把，好好解释下...
毕竟那也算是个缺陷啊
    http://bbs.kafan.cn/thread-761201-1-1.html

半支煙

坐等众金粉来喷！！！

IllusionWing

又开始了。。

猪头大队

意广告图标，最近100小时内已有超过25万台电脑受害。为此，360安全卫士已紧急升级，可为用户查杀和预防该木 ...
x64hips 发表于 2010.8.3 16:57

求样本，麻烦MJ发到样本区，让大家见识一下吧，谢谢