(2010年8月3日北京)360安全中心今日发布橙色木马疫情播报,一款名为“金锁”的恶性木马(瑞星命名“Trojan.Win32.Generic.12337DB7”)近期感染量剧增,它利用了金山网盾的设计缺陷,实现自我隐蔽、篡改并强制锁定用户IE浏览器首页,并在电脑桌面释放“情色电影”、“淘宝购物”、“在线小游戏”等恶意广告图标,最近100小时内已有超过25万台电脑受害。为此,360安全卫士已紧急升级,可为用户查杀和预防该木马,并修复浏览器首页和桌面图标。
360工程师介绍说,利用金山网盾篡改首页的木马最早出现在今年4月,“金锁”木马是其最新的变种。今年5月2日,金山公司专门发布了公告,承认这一类利用金山网盾的恶意行为,是“流氓程序攻击”导致用户下载了“盗版金山网盾”,并提供了清理办法。但自7月30日开始,黑客又找到了金山网盾新的设计缺陷,并再度利用该软件来疯狂地攻击普通网民。360急救箱在4月份开始提供查杀,截止8月2日24时,360急救箱已累计查杀超过30万。而根据最近4天来360木马云查杀的数据,感染“金锁”木马的电脑数急剧新增了25.22万。这意味,至今已有超过45万网民的电脑因此而中招,而该数据还仅是360用户中的数据。
点这儿下载360系统急救箱 “由于金山网盾带有‘浏览器主页锁定’功能,而它某些版本的程序配置文件没有经过加密,因此被黑客用来制作木马,不光篡改IE首页,还会在桌面和快速启动栏创建大量恶意网址链接。”360安全工程师介绍说,如果电脑出现类似故障,而且能在硬盘中搜到kws.ini、KSWebShield.exe等文件,说明已经感染了“金锁”木马。
根据360安全中心监测数据,“金锁”木马主要利用不良下载站传播,特别是在某些欺诈网友点击的大图片下载链接中,比如“迅雷下载”、“联通下载”和“电信下载”,很多都指向了“金锁”木马,让网友下载后点击就中招。由于金山网盾属于正规安全软件,大多数杀毒软件将其收入了白名单,因而无法查杀“金锁”木马,所以危害尤其严重。
图1、“金锁”木马中招现象:IE首页被篡改为“导航啦” 图2:受到“金锁”木马利用的金山网盾数字签名来自珠海金山软件公司 无独有偶,瑞星“云安全”系统近期也截获了“金锁”木马的样本并发布公告,称Trojan.Win32.Generic.12337DB7利用一款安全软件来篡改用户浏览器的首页。由于其带有篡改浏览器首页的功能,导致用户的浏览器被强行锁定为恶意网址。
图3:瑞星官网发布安全公告 360安全专家表示,目前360安全卫士已经实现了对“金锁”木马的防护和查杀。一旦发现上述症状的用户,请立即在联网状态下使用360木马云查杀扫描,就能彻底清除该木马;同时,所有开启了360木马防火墙的360用户电脑也都能对该木马进行有效防护。