金鎖木馬

金鎖木馬

金鎖木馬(瑞星命名“Trojan.Win32.Generic.12337DB7”)它利用了國內某上網保護軟體的設計缺陷,實現自我隱蔽、篡改並強制鎖定用戶IE瀏覽器首頁,並在電腦桌面釋放“情色電影”、“淘寶購物”、“線上小遊戲”等惡意廣告圖示,最近100小時內已有超過25萬台電腦受害。

木馬介紹

瀏覽器首頁又常被稱為瀏覽器起始頁,指瀏覽器首頁指打開瀏覽器時默認轉入的網址。由於有默認和首發的特點,往往成為木馬或病毒的重要滋生地,從而變成抗拒木馬或病毒的重要陣地。瀏覽器首頁的控制和反控制技術,引起人們的持久關注。

金鎖木馬是針對金山網盾的一個漏洞來的。金山網盾的瀏覽器首頁鎖定功能是會通過載入一個配置檔案來實現的,也就是說如果你把主頁鎖定為about:blank,那么那個配置檔案裡面就會是about:blank的信息,然後金山網盾讀取配置檔案之後就知道要鎖定主頁為about:blank二進行鎖定。

而金鎖木馬則是利用這個特性,木馬會修改金山網盾的那個配置檔案,把裡面的內容由原本鎖定的網址改為某個特定的網址,而金山網盾在載入配置檔案的時候並不會校對這個配置檔案有沒有異常就直接讀取,也沒有對配置檔案進行加密處理(這也算是一個漏洞了),於是就把配置檔案中被木馬修改的網址鎖定為主頁,那樣你的主頁就會被“金鎖”修改了。接著還會在桌面釋放一些推廣圖示。

傳播方法

(2010年8月3日北京)360安全中心今日發布橙色木馬疫情播報,“金鎖”木馬一款名為“金鎖”的惡性木馬(瑞星命名“Trojan.Win32.Generic.12337DB7”)主要利用不良下載站傳播,特別是在某些欺詐網友點擊的大圖片下載連結中,比如“迅雷下載”、“聯通下載”和“電信下載”,很多都指向了“金鎖”木馬,讓網友下載後點擊就中招。由於該安全軟體屬於正規安全軟體,大多數防毒軟體將其收入了白名單,因而無法查殺“金鎖”木馬,所以危害尤其嚴重。

主要危害

實現自我隱蔽、篡改並強制鎖定用戶IE瀏覽器首頁,並在電腦桌面釋放“情色電影”、“淘寶購物”、“線上小遊戲”等惡意廣告圖示,100小時內已有超過25萬台電腦受害。為此,360安全衛士已緊急升級,可為用戶查殺和預防該木馬,並修復瀏覽器首頁和桌面圖示。

當中招用戶訪問某個知名網址導航網站時,該木馬還會自動把瀏覽器劫持到木馬綁定目標,為這個網站刷流量賺取利益。

中毒症狀

“由於某上網保護軟體帶有‘瀏覽器主頁鎖定’功能,而它某些版本的程式配置檔案沒有經過加密,因此被黑客用來製作木馬,不光篡改IE首頁,還會在桌面和快速啟動欄創建大量惡意網址連結。”360安全工程師介紹說,如果電腦出現類似故障,而且能在硬碟中搜到kws.ini、KSWebShield.exe等檔案,說明已經感染了“金鎖”木馬。

金鎖木馬變種

360安全專家表示,針對“金鎖”木馬的新變種,360安全衛士和360防毒已經進行了全面升級,能夠防禦並徹底清理該木馬,修復被木馬篡改的瀏覽器首頁。已經中招的網民可以通過隨身碟等方式從其它電腦上拷貝360系列軟體的離線安裝包,以免網路被木馬破壞而無法正常下載安裝。

360安全中心發布最新木馬警報稱:利用金山網盾大量傳播的“金鎖”木馬又出現新的變種,它不光會將瀏覽器首頁鎖定為流氓網站,還在惡意篡改DNS域名解析,使中招用戶無法打開自己希望訪問的網站。值得關注的是,“金鎖”木馬變種正在利用一些訪問量極高的軟體和遊戲下載站進行傳播,網友一旦點錯下載地址,安裝運行時就會中招,保守估計每天至少感染上萬台電腦。

據介紹,“金鎖”木馬是一類專門篡改並強制鎖定瀏覽器首頁的木馬,由於它利用了金山軟體出品的金山網盾的設計缺陷改裝而成,能夠逃避大多數防毒軟體的查殺。同時,其最新變種加入了惡意DNS域名解析的手段,使中招用戶無法正常訪問360安全中心官網、下載使用360安全軟體。此外,當中招用戶訪問www.hao123點com、www.szhpmr點com等知名網址導航網站時,該木馬還會自動把瀏覽器劫持到www點5626點com為這個網站刷流量賺取利益。

“金鎖”木馬最早出現在4月,360安全中心已累計查殺超過60萬次,該木馬因此一度銷聲匿跡。新型“金鎖”木馬變種又和不良下載站勾結在一起。這類下載站頁面上普遍設定了很多陷阱,欺騙網友點擊下載,其實卻是網友並不需要的某些軟體,以此進行推廣分成。

查殺方法

解決方法不難,只需要刪除病毒本體,並把金山網盾的配置檔案修改為原樣,刪除桌面上的裡面圖示就完事了。當然最好的方法還是控制對配置檔案的修改,新版金山網盾已經解決了這個問題。

另外可以在聯網狀態下使用360木馬雲查殺掃描,就能徹底清除該木馬;同時,所有開啟了360木馬防火牆的360用戶電腦也都能對該木馬進行有效防護。

相關詞條

熱門詞條

聯絡我們