金山与360互相指责对方产品存在漏洞

北京时间10月13日，金山和360互发声明，指责对方产品存在重大漏洞。

首先，金山指责360存在漏洞，金山声明全文：

　　近日，“360 U盘保护”木马异常活跃，论坛中大量网友发布求助信息。而“360 U盘保护”木马的罪魁祸首依然是软件漏洞。该木马正是利用了360软件管家、360杀毒两款软件的安全漏洞进行传播攻击的。据悉，此两款软件的漏洞均为木马DLL随意加载漏洞，任何木马均可利用该漏洞对用户电脑发起攻击，危害非常严重。

　　据金山安全专家李铁军介绍，SoftupNotify.exe(360软件管家)和360nzp.exe(360杀毒)这两个组件都存在dll劫持漏洞。这两个程序启动时没有检查必需的dll文件(somkernl.dll，360nzp.dll)是否为官方程序，从而沦落为木马加载器。

　　经分析，恶意DLL文件somkernl.dll，360nzp.dll文件可以是任意类型的病毒木马程序，比如远程控制木马，网游盗号木马，后门程序等。病毒作者之所以费劲心机寻找360这两个程序的DLL挟持漏洞是因为大部分安全软件文件采用了数字签名信任机制(会默认允许用户量众多的应用程序运行)，从而利用360天生被信任的优势轻松加载精心构造的恶意DLL文件。

　　以“360 U盘保护”木马为例，用户电脑感染了该木马后，该木马加载以后会在后台默默检测用户电脑内是否存在移动设备(比如U盘，数码相机使用的内存卡，移动硬盘等)，一旦发现存在移动设备就蛮横的将用户隐私数据拷贝到一个名为“360安全文件夹”的隐藏文件夹中，同时创建一个名为“360 U盘安全保护.exe”来使得每次用户只能点击此程序U盘才能看到自己的隐私数据，同时木马程序将反复感染用户系统。用户电脑一旦感染该木马，将面临个人隐私信息丢失风险。

　　安全工程师指出，目前360软件管家和360杀毒老版本仍然没有修补这两个漏洞，大量360用户仍然面临被“360u盘保护”木马攻击的危险。

　　近年来，以微软操作系统为首的各种应用软件漏洞已经成为病毒木马发起攻击的主要途径。包括adobe、IE等覆盖量很大的知名软件都经常被病毒木马利用。而像360安全卫士之这样的安全软件漏洞被利用对用户来说更具危险性。金山安全公司提醒广大互联网用户，应尽量选择专业安全厂商的产品，减少被病毒木马入侵的危险。

随后，360也发布声明，指责金山网盾存在重要漏洞，360声明全文：

　　针对今年泛滥的“金锁”木马家族，360安全中心于10月13日发布木马分析报告指出，金山网盾等金山旗下多款安全软件长期存在高危漏洞，而且一直不予修复，已经导致超过100万网民电脑遭受“金锁”木马及其变种的攻击。在最新出现的“金锁”木马变种中，该木马利用金山网盾漏洞隐蔽启动，并恶意篡改DNS设置，屏蔽安全厂商的云安全服务器(包括金山自己)，对受害用户造成极大的威胁。

　　据360安全专家介绍，由于金山网盾没有对dll组件的合法性进行校验就直接加载，从而可以被黑客提取金山网盾的文件，和木马封装在一起。同时，金山网盾的文件一般被其它安全厂商加入白名单以避免误报，一但被木马利用，会导致其它安全软件也难以查杀。此前，瑞星、360均针对金山网盾漏洞发布多次安全警报，但不知何故，金山方面一直拒不修复漏洞。

　　360安全专家表示，任何软件都可能出现漏洞，重要的是及时解决。如果一款软件因为自身漏洞被木马打包利用，最合理的解决方式应该是尽快修复漏洞，提示用户升级版本，并且把已经被木马利用的软件版本从白名单中剔除。但金山的做法是长期放任漏洞存在，导致金山网盾等产品的多个版本都可以被木马随意利用，组成一套具有“免杀”能力的“金锁”木马家族，对用户的QQ、网游甚至网上银行账户都造成了极大的威胁。

　　360安全专家建议广大使用金山安全软件的用户，应密切关注电脑的异常情况，如果出现木马反复查杀不尽、恶意桌面图标无法清理等情况，应第一时间向安全厂商求助，或使用360安全卫士彻底查杀木马，以免造成更严重的损失。

同时，360还指责金山爆料的360漏洞并无其事，360发表的声明全文：

　　10月13日，金山公司雇请公关公司，向国内上百家媒体散布名为《360两款产品爆出重大安全漏洞 至今尚未修复》的假新闻，文中谎称“SoftupNotify.exe(360软件管家)和360nzp.exe(360杀毒)这两个组件都存在dll劫持漏洞，至今尚未修复”。对此，360严正声明如下：

　　一、早在今年5月，首先曝出dll劫持漏洞的安全软件恰恰是金山旗下的金山网盾，而且其最新版本至今仍未修复(参考附件1及附件2)。当国内刚刚出现利用金山网盾漏洞的“金锁”木马时，360立即对全线产品进行了严格的自检测试，并且在24小时内就修复了所有dll劫持漏洞、48小时内提示全网用户升级到修复漏洞的版本，其中就包括金山公司宣称的“SoftupNotify.exe(360软件管家)和360nzp.exe(360杀毒)存在的漏洞”。截至2010年5月20日，360安全软件早已完全修复了dll劫持漏洞(参考附件3)。金山故意歪曲事实，无疑是想通过抹黑恐吓、误导360的用户。

　　二、dll劫持漏洞是一个今年频繁出现的安全威胁，存在于Windows操作系统和上百款应用软件中，包括Adobe Photoshop、Microsoft Office、Firefox、Opera等。当软件运行时，如果没有校验其加载的dll文件的安全性，则可能会被木马利用，加载运行由木马伪装的dll文件。为了彻底修复这类漏洞，360安全卫士、360杀毒等产品在今年5月以后的版本，全部对加载的dll文件进行了数字签名验证。同时，360木马防火墙也早已针对dll劫持漏洞攻击升级了拦截规则，可以彻底拦截利用此类漏洞的“金锁”木马等恶意程序，广大360用户完全可以对此放心。

　　三、金山公司视安全为儿戏，对自己的用户极其不负责任。今年5月24日，国内诸多网媒报道了《金山网盾被木马攻破 用户怨声载道》的新闻。此后，瑞星公司也发布了金山网盾dll加载漏洞被木马利用的公告，并将其命名为“无间”木马(360命名：“金锁”木马)。最近5个月内，已有上百万网民电脑遭到此木马攻击，几乎每天近1万台。更可怕的是，金山网盾漏洞可以被任意类型的木马病毒利用，如肉鸡控制木马、网银木马、QQ盗号木马等等。根据360工程师对金山网盾官网最新版本(版本号3.63 更新时间：2010.08.27)的检测，该漏洞依然存在。在这么长时间内，金山公司既不修复漏洞，也不向用户通报情况，放任黑客肆意攻击自己的用户电脑!

　　四、我们奉劝金山公司，不要把抹黑360当成主业，真正该做的是踏踏实实提升产品功能、出现漏洞就及时修复。历数今年以来金山公司曝出的安全丑闻：AV-C评测病毒查杀率历次“倒数第一”却鼓吹成“全球第一”、VB100历次评测要么通不过要么成绩大多垫底、被南北打假名人王海和徐大江在全国多地法院起诉、金山网盾出现高危内核提权漏洞却予以否认、直到被中美俄数十家安全机构曝光……这些，无一不是金山自身产品质量造成的问题，难道，产品上不改进、造假新闻抹黑360就能提升自己、保护用户了?难道，一家长期自诩为“中国民族软件骄傲”、拿着政府拨款、以网络游戏为主要收入的香港上市公司，依靠在日本免费却对中国人收费、作伪证、造假新闻打击竞争对手，就能发展成为一家令人尊敬的伟大公司?

　　五、这次事件的起因，归根结底还是因为360杀毒免费，造成金山毒霸的收入直线下滑。根据艾瑞统计，在360杀毒正式版发布前(2009年10月)，金山毒霸的市场份额达到近年来最高的14.39%;此后，金山毒霸则一路滑坡，目前每天的覆盖率仅为大约4.99%，大幅缩水了三分之二。如果金山公司还沉浸在收费杀毒软件的暴利时代，不愿正视互联网免费商业模式的颠覆式创新力量，如此漠视自己用户的安危与利益，却将希望寄托在每天挖空心思诋毁抹黑同行上，那么，金山的未来可想而知。因此，为了“金山”这个品牌、为了所有目前还信任金山的用户，为了金山全体员工的前程，我们强烈建议金山公司，做好产品，服务好用户，尽快向互联网商业模式转型，而不要一味把精力、资源放在无休止的公关口水仗中。

　　360安全中心