首页 > 信息安全 > 正文

金山网盾漏洞不修复 百万网民电脑遭殃

2010-10-14 15:35:07  来源:it168网站原创

摘要:针对今年泛滥的“金锁”木马家族,360安全中心于10月13日发布木马分析报告指出,金山网盾等金山旗下多款安全软件长期存在高危漏洞,而且一直不予修复,已经导致超过100万网民电脑遭受
关键词: 奇虎 金山安全 漏洞

  针对今年泛滥的“金锁”木马家族,360安全中心于10月13日发布木马分析报告指出,金山网盾等金山旗下多款安全软件长期存在高危漏洞,而且一直不予修复,已经导致超过100万网民电脑遭受“金锁”木马及其变种的攻击。在最新出现的“金锁”木马变种中,该木马利用金山网盾漏洞隐蔽启动,并恶意篡改DNS设置,屏蔽安全厂商的云安全服务器(包括金山自己),对受害用户造成极大的威胁。

  据360安全专家介绍,由于金山网盾没有对dll组件的合法性进行校验就直接加载,从而可以被黑客提取金山网盾的文件,和木马封装在一起。同时,金山网盾的文件一般被其它安全厂商加入白名单以避免误报,一但被木马利用,会导致其它安全软件也难以查杀。此前,瑞星、360均针对金山网盾漏洞发布多次安全警报,但不知何故,金山方面一直拒不修复漏洞。

  360安全专家表示,任何软件都可能出现漏洞,重要的是及时解决。如果一款软件因为自身漏洞被木马打包利用,最合理的解决方式应该是尽快修复漏洞,提示用户升级版本,并且把已经被木马利用的软件版本从白名单中剔除。但金山的做法是长期放任漏洞存在,导致金山网盾等产品的多个版本都可以被木马随意利用,组成一套具有“免杀”能力的“金锁”木马家族,对用户的QQ、网游甚至网上银行账户都造成了极大的威胁。

  360安全专家建议广大使用金山安全软件的用户,应密切关注电脑的异常情况,如果出现木马反复查杀不尽、恶意桌面图标无法清理等情况,应第一时间向安全厂商求助,或使用360安全卫士彻底查杀木马,以免造成更严重的损失。

  附:金山网盾组件校验漏洞分析

  漏洞产生:金山网盾由于未对组件的合法性进行校验就直接加载,已经被“金锁”木马家族恶意利用。

  问题版本:KSWebShield.exe ≤2010.8.12.72

  签名公司:Zhuhai Kingsoft Software Co.,Ltd

  由于此漏洞存在多处,本处仅以二个DEMO演示。

  漏洞利用DEMO(一):

  将金山网盾所在目录下的的kwstray.exe删除,复制系统目录下的calc.exe到金山网盾所在目录并重命名为kwstray.exe,然后执行金山网盾的KWSMain.exe程序。随后可以看到在金山网盾启动后,被重命名的calc.exe计算器程序也被执行起来了。如图1所示。

  

金山网盾漏洞不修复 百万网民电脑遭殃

 

  ▲

  图1

  问题版本:KWSMain.exe≤2010.9.1.17

  签名公司:Zhuhai Kingsoft Software Co.,Ltd

  漏洞利用DEMO(二):

  将金山网盾所在目录下的的KSWebShield.exe删除,复制系统目录下的calc.exe到金山网盾所在目录并重命名为KSWebShield.exe,然后执行金山网盾的KWSMain.exe程序。随后可以看到在金山网盾启动后,被重命名的calc.exe计算器程序也被执行起来了。如图2所示。

  

金山网盾漏洞不修复 百万网民电脑遭殃

 

  ▲


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。