360软件管家和360杀毒软件的组件被病毒利用

KCloud

最近，有很多网友在论坛、贴吧、百度知道、soso问问等平台咨询”360U盘安全保护是什么？360安全文件夹是什么？somkernl.dll是什么、360nzp.dll是什么之类的问题。







这些问题有几个共同特征：
1、在U盘，移动硬盘发现文件"360U盘安全保护.exe”
2、在U盘，移动硬盘发现隐藏文件夹"360安全文件夹"，U盘或移动硬盘存储的正常文件被隐藏。
3、在计算机上发现以下任何一个文件：SoftupNotify.exe（可能会被重命名为其它exe）、360nzp.exe（可能会被重命名为其它exe）、somkernl.dll、360nzp.dll

分析发现：
SoftupNotify.exe是360软件管理的组件；360nzp.exe是360杀毒的组件，这两个组件都存在dll劫持漏洞。当SoftupNotify.exe、360nzp.exe在运行时，会调用somkernl.dll和360nzp.dll，但由于存在dll劫持漏洞，360的程序组件运行时并不会检查所运行dll的安全性，从而使病毒dll被含有360数字签名的exe程序所调用。

病毒作者会将SoftupNotify.exe、360nzp.exe文件重命名为任意文件名，然后修改注册表添加开机启动项，以便病毒在下次电脑重启的过程中实现自动运行。因为SoftupNotify.exe和360nzp.exe文件都带有360公司的正常数字签名，这两个文件创建的开机启动项，会被多数安全软件放行。在SoftupNotify.exe和360nzp.exe运行时，一般也不会触发安全软件的报警。而这两个看起来正常的文件运行时，病毒dll也随之得到成功的加载，病毒的最终危害决定于somkernl.dll和360nzp.dll的行为。

（关于dll劫持漏洞，可以参考正确处置dll劫持漏洞的安全风险，360曾通发新闻说dll劫持漏洞和2009年猫癣病毒传播时利用usp10.dll启动的性质一样，实际根本不是一回事）

几个月前，有数字大盗病毒利用360安全卫士的组件盗窃网民淘宝ID和支付宝帐号（请参考支付宝帐号是数字大盗病毒的首要目标），不幸的是，没多久，又有新的漏洞出现在360自身的组件中。360公司的360安全卫士、360软件管理、360杀毒三个产品的安全漏洞均被病毒作者成功利用。360自称有3亿用户，如此一来，不知道有多少用户要遭殃。我们知道，任何软件在开发过程中都难以绝对避免不出安全漏洞。但奇虎360公司不惜在3亿用户的桌面弹泡泡通知，以安全恐吓的战术吓唬用户放弃其它厂商的产品。

当用户在电脑发现以下几个特征时，就表明已经中毒：
1、在U盘，移动硬盘发现文件"360U盘安全保护.exe”
2、在U盘，移动硬盘发现隐藏文件夹"360安全文件夹"
3、在计算机上发现以下任何一个文件：SoftupNotify.exe、360nzp.exe、somkernl.dll、360nzp.dll

360不是说自己的东西有自己的接口不会被恶意利用么。。

wei581314

楼主连发两贴，等官人解释。

白羊座

回复 2楼 单身熟男 的帖子

正常安装的360组件有自我保护，根本不可能通过这种方式利用

尝微听几

回复 4楼 白羊座 的帖子

那怎么出现病毒利用的？

白羊座

回复 5楼 尝微听几 的帖子

正常安装几个字这么大，看不见么？

你想怎样

这有什么奇怪的 ?

等到一些病毒制作者哪天也闲了,  制作几个以某山的文件名字的木马来搞搞也未可知.

不过貌似用户数太少,   可能觉得不值得

尝微听几

回复 6楼 白羊座 的帖子

请问下，非正常安装是什么意思？

白羊座

回复 8楼 尝微听几 的帖子

比如某提取组件之类的，绿化360之类的，都是非正常安装

说白了，除了360官方安装包安装之外，都是非正常安装

尝微听几

回复 9楼 白羊座 的帖子

哦，明白了