ku2009网站遭指责 利用rootkit木马恶意推广

　　本文之所以直接指责ku2009网站导航与该病毒的传播相关，理由是：把主页锁定为www.ku2009.com的病毒已经出现一段时间了，如果www.ku2009.com是正常的商业网站，其管理者不可能不知道是哪个渠道在利用病毒传播，想打击这种恶意推广行为，易如反掌。但事实恰恰相反，受此类广告木马影响的用户计算机扔在持续增加，木马作者仍在对木马进行种种技术改进。

　　近期许多网民发现自己的IE主页被锁定为hxxp://www.ku2009.com/?1220，中招之后使用各种修复工具均无法恢复。

　　金山安全中心经过分析发现该广告木马一旦感染将“查不到，摸不着”，它隐匿在用户电脑，通过汲取广告点击获得非法收入。由于采用了Rootkit技术普通用户根本无法手工发现并清除这个广告木马变种。同时该广告木马可绕过安全工具数字签名验证。

　　该木马的技术特点：

　　1.为修改IE主页专门定制Rrootkit驱动-“摸不着”

　　该恶意广告木马通过安装一个恶意驱动来挟持系统正常功能，比如查看文件修改注册表，使得用户对IE主页的修改不能生效。同时该广告木马会隐藏其本体，不能在我的电脑中使用一般的方法查看到。

　　2.数字签名验证绕过技术-“查不到”

　　大家都知道数字签名被广泛用来鉴别病毒及恶意程序，但是此广告木马会欺骗金山清理专家，Autoruns等安全软件的数字签名验证机制，由于大量安全软件使用数字签名来初步判断程序安全，这种方法可以欺骗安全软件。

　　金山云安全中心通过一段时间对该广告木马多个变种的跟踪分析，并通过网盾数据的回溯发现一个叫作“最新点击日付联盟”的组织正在猖狂的通过网页挂马，恶意捆绑等手段恶意入侵用户电脑，一旦感染该恶意程序将下载大量广告木马修改用户主页，弹出大量广告。目前金山安全中心将继续密切关注该病毒发展并即时提出完善的解决方案，以保证用户电脑安全运行。