科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>安全频道>终端安全>360发三篇声明 称金山网盾成木马通道

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

自今年4月起,大量360用户在论坛发帖求助:只要一打开浏览器,就会自动访问一个名为“67160网址导航”的陌生网站,里面全是各种诈骗会员费、中奖手续费的虚假信息。

来源:ZDNet安全频道 2010年05月24日

关键字:金山 360

360声明全文:

一问金山:金山网盾变成了木马通道,为何要向用户隐瞒?

  自今年4月起,大量360用户在论坛发帖求助:只要一打开浏览器,就会自动访问一个名为“67160网址导航”的陌生网站,里面全是各种诈骗会员费、中奖手续费的虚假信息。经360安全中心分析,这是木马利用金山网盾的漏洞强制锁定了受害网民的浏览器主页,迫使浏览器访问钓鱼诈骗网站,而常规的修改主页设置、编辑注册表等方式根本无法解决。

  5月2日,金山公司发布公告。在公告中,金山声称是“流氓程序攻击”导致用户下载了“盗版金山网盾”,却只字不提“木马”二字。同时,金山还暗指竞争对手制造出所谓的“盗版金山网盾并与木马刻意捆绑”,并嫁祸于金山网盾。

  这样的构思堪称离奇。金山做安全软件还真的是不在行,360推荐金山当导演。

  实际上,是木马有效利用了金山网盾中的安全漏洞,将金山网盾当成了最佳的作恶平台。换句话说,金山网盾成了木马加载器。

  一、金山网盾为什么会被木马利用来推广恶意网址?

  金山网盾的一项“浏览器主页锁定功能”存在安全漏洞。通常情况下,为了方便用户打开常用的网站,浏览器自身都提供了设定主页的设置,并将主页的地址存放在注册表中的一个特定位置。金山网盾为了实现“主页锁定”功能,绕开了这个常规机制,直接把浏览器读取主页网址的请求截取到金山网盾配置文件(kws.ini)设定的网址。然而,木马捆绑上金山网盾后,利用这个安全漏洞,在金山网盾的配置文件上写入木马想要推广的恶意网址,中招的电脑用户每天都必须要访问这些恶意网址了。(详细阅读:金山网盾“主页锁定”功能是如何帮木马作恶的)

  二、木马为什么要与金山网盾捆绑在一起?

  木马之所以选择捆绑金山网盾,是由于金山网盾在运行时,只是按特定路径下的文件名来加载DLL文件,而没有校验这些DLL文件是否安全。这个程序的缺陷就给了黑客作恶的机会。简单地说,木马捆绑了金山网盾后,就可以伪装成金山网盾的文件。被捆绑的金山网盾运行时,不仅没有安全功能,还会激活隐藏在其中的木马程序。

  由于金山网盾是一款安全软件,大多数安全厂商都会将金山网盾默认为安全。所以,捆绑了金山网盾的木马就拥有了天然的“免杀”能力。正因为如此,中招后的网友查不出任何木马病毒来。(详细阅读:金山网盾是如何变成“木马保护伞”的)

  三、金山网盾为什么能够与木马和平相处?

  金山网盾的一个重要功能是为用户锁浏览器主页,但被木马捆绑金山网盾后,这个功能就失效了。虽然金山网盾是安全软件,但是却不能帮用户杀木马,反而能与木马“和平相处”。也就是说,金山网盾用户中了木马,也难以察觉,以为电脑安然无恙,再去登录游戏、网银、QQ等帐号时,反而造成更严重的损失。

  金山网盾的这个安全漏洞危害极大。这一次捆绑金山网盾的木马劫持的只是网民的浏览器首页。如果这个安全漏洞不尽快修复,黑客还可能进一步改造金山网盾,用来捆绑上各种盗号木马和远程控制类木马,把安全软件变成一个名副其实的“木马加载器”,来逃避大多数杀毒软件的查杀。

  然而,金山网盾至今未修复能够加载木马的安全漏洞。它只是提供了一个急救箱功能,这种解决方案只是临时性的,并未从根本上解决问题。

  有了安全漏洞不修补,这不是对网民负责任的态度。鉴于此,360安全中心建议网民:及时检测电脑中是否存在Kwssp.dll、kwsui.dll、 KSWBC.dll、kswebshield.dll、KSWebShield.exe、kws.ini等可能被木马利用的金山文件,并使用360安全卫士最新版对电脑进行安全扫描,排除木马隐患。360安全卫士7.1版所装备的360“木马防火墙”,将让用户电脑对99%的木马完全免疫,从而告别亡羊补牢式的“事后查杀”木马时代。

二问金山:为何故意在用户电脑中留下一个高危漏洞

  2010年,360公司的技术人员发现金山网盾、金山毒霸和金山卫士存在一个同样的高危漏洞,任意权限的用户都可以利用这个漏洞,进入内核,对系统进行任何操作。

  发现这个漏洞后,360公司及时通知了金山方面。然而截止到现在,这个漏洞仍然存在,并没有得到修复。

  这个漏洞一旦被利用,将有可能对用户电脑中的数据、财产和隐私产生极大的威胁。更严重的是,金山明知道这个漏洞很有可能被木马利用,不但不予修补,反而和木马一样,故意利用这个漏洞来进行一些非法举动,譬如绕过其它安全软件的监视,譬如偷偷篡改用户的默认浏览器,等等。性质之恶劣,接近于故意在用户电脑中留“后门”。

  下面是金山网盾漏洞的部分细节(下面这些细节在披露时已经过处理,有所保留,以杜绝被木马作者利用的可能性):

  “金山网盾的驱动kavsafe.sys存在一个内核级的本地权限提升安全漏洞,任意权限的用户可以利用金山网盾的这个漏洞进入内核,并对系统进行任何操作。攻击者可以通过这个漏洞轻易穿透任何安装在系统上的安全防御软件,包括金山自己的产品,同时,由于这是一个权限提升漏洞,攻击者还可以利用它穿透 vista的uac保护,或者在服务器上利用webshell提升权限,获得整台服务器的完全控制权。

  这个漏洞在金山卫士、金山毒霸等等金山系列安全产品中都存在。然而,一般的权限提升漏洞都是由于驱动的参数检查不严,引发了“无意”的任意内核地址写入,但金山的这个漏洞却是因为金山专门在驱动中提供了这样一个任意地址写入的接口,攻击者可以随意用来绕过安全软件,窃取用户隐私和劫持用户系统。

  另外,金山网盾存在的一个安全问题是,它提供了一个‘专门绕过任意安全软件’的功能。借助这个功能,任何程序都可以绕过安装了金山网盾的机器上的任何安全软件的所有保护,会导致严重的安全风险。金山网盾目前则利用这个功能,绕过安全软件的监视,篡改用户的默认浏览器。”

  综上所述,金山为了方便自己利用这个漏洞而故意不予修补,结果等于放任甚至纵容木马病毒利用该漏洞,其做法已经违背了一家安全公司最起码的道德底线。

  360代表广大网民,请金山正面回答下列问题:

  第一,为什么360及时通知了金山公司,但金山却迟迟不修复该漏洞?

  第二,金山为什么要冒天下之大不韪,提供一个“绕过所有安全软件保护”的功能?

  第三,金山为了方便自己利用而故意留下这个漏洞,难道就不知道这个漏洞会被木马利用?

三问金山:为什么要暗中阻挠360保护用户?

  试问金山,何谓“兼容”?暗中破坏同类安全软件、害得用户中招是“兼容”?声称保护浏览器安全,却强行插入,暴力劫持,导致浏览器变慢变卡甚至崩溃是“兼容”?“兼容”的前提是和平共处,表面的“共存”绝不等于“兼容”。对于金山来说,“兼容”只是为了贴身破坏。

  一、金山:“我拦不住,也不能让你拦!”

  金山网盾破坏360运行的行为开始于今年年初。金山网盾迫于用户基数较小、无法获取大量样本的压力,在长达半年的时间内,一直采用不正当手段恶意干扰 360安全卫士网页防火墙的正常运行。具体手段是:单方面劫持和隐藏网址信息,并故意释放虚假信息误导360,导致360无法检测网页是否安全。其严重后果在于:如果用户访问了金山拦不住的恶意网址,360也会由于受到金山干扰而“被失效”,最终导致用户中招!通俗地说,金山的做法就是“我拦不住,也不能让你拦!”

  对于这一恶意行为,360多次试图通过沟通解决,但是金山公司却一直避而不谈。

  二、金山:“你不让插,我偏要插!”

  为达到劫持浏览器的目的,金山网盾未经同意便会默认插入各大浏览器进程。由于网盾的强行插入,导致浏览器崩溃率大大提高,变卡、变慢、频频崩溃,特别是在win7系统下,浏览器的启动速度会降低8-10倍!为此,360、搜狗、世界之窗等几大国产浏览器先后发布了拒绝了金山网盾插入的版本。但让人震惊的是,即便遭到明确拒绝,金山网盾仍坚持通过暴力方式和流氓手段强行插入,其行径与强奸无异。

  不仅如此,金山网盾还通过侵入QQ、MSN等客户端软件,或者强行突破360等安全软件的主动防御体系,来修改用户的默认浏览器设置,不仅容易造成外链打不开,还有可能被木马利用。金山网盾这种流氓式的行为已经完全无视用户的利益,更别提用户的感受和体验。

  综上所述,金山网盾肆意阻挠360的正常拦截、暴力劫持浏览器的行为,是典型的为了不正当竞争而置用户安危于不顾的做法。作为国内最大的安全厂商,360一直努力寻求与其他安全软件的兼容,但“用户第一、安全至上”的原则不会变,继续与金山“兼容”只会给网民带来更大的灾难。事实上,拥有3亿用户的360安全卫士在整体防御能力和数据质量上,毫无疑问明显优于金山网盾。本来用户只使用360的系列软件,就已经能够保证上网安全,但在同时使用金山网盾的情况下,防护体系反而会出现重大漏洞,这是360安全卫士拒绝再与金山网盾兼容的重要原因。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题