网络

金山网盾是如何变成木马保护伞的

2019-05-15 04:23:26来源:励志吧0次阅读

近期,当金山盾被大批篡改主页木马利用后,不但“主页锁定”漏洞迟迟没有修复,反而又曝出一个危害更严重的“文件校验”本地提权漏洞。该漏洞可以让黑客随便加载启动任意木马,同时能使木马变相成为金山盾的组件,从而躲过所有杀毒软件的查杀。如此一来,安全软件反而成了“木马加载器”和木马的保护伞,这在络安全行业还是次。

经360安全工程师验证,金山盾通过e服务程序开机启动,然后由该程序加载特定目录下的dll文件。由于金山盾不检查校验这些dll文件的真实性,只是按文件名来加载运行。一旦这些dll文件被木马文件替换,金山盾就会自动运行该木马文件,同时由于该木马件是由带有金山公司数字签名的金山盾加载启动的,大多杀毒软件都会将其视为“可信文件”放过。就这样,金山盾帮木马实现了安全、隐蔽的启动。

据“金山木马”的中招用户反馈:电脑中会出现金山盾的进程(e),同时伴随着电脑卡机、上变慢等各种现象,但杀毒软件却查不出任何异常。对此,360安全专家解释说,木马要想偷取帐号和隐私,必须先“激活”运行。但由于木马自身的启动项极易被安全软件查杀,因此,存有漏洞的金山盾反而成了流行木马的常用加载器。

一旦电脑被装上了“金山木马”,这些用户的噩梦就开始了:浏览器主页被锁定在恶意诈骗址难以修复、中了木马毫无察觉直到账号隐私被盗……详情请见“金山盾如何成为木马通道”分析报告之2《金山盾“主页锁定”功能是如何帮木马作恶的》。

对这个安全漏洞,金山公司于4月27日发布的公告中,将此类木马称为“盗版金山盾”,并将推给了“恶意木马团伙”,还不忘攻击了一把“竞争对手”,却丝毫未提及自身产品存在的安全漏洞。截至目前,金山盾的这1漏洞仍未修复。

附1:金山公司关于金山盾被木马利用的公告:

《如何清除盗版的金山盾?》(地址: )

附2:金山盾成为木马加载器的技术分析:

金山盾服务程序e提供了“安装服务”和“启动服务”的接口,而e没有校验是谁调用了安装服务接口或启动服务接口。从而使木马可以利用现有接口,随便安装并启动该服务。

安装接口是指把以下几个金山盾的文件放到任意目录:

e、l、l、l、l

然后,带上-install参数履行上述目录下e(此参数为安装服务接口)

再带上-start 参数执行履行上述目录下e。(此参数为开启服务接口)

该服务的小模块只需要以下文件:l、l、l和l。因此,木马只需要先把 e和上述4个dll文件捆绑,然后释放到用户计算机的某个目录下,同时,使用“e”的“安装服务”接口来安装服务,再使用“启动服务”接口来启动该服务,就可以进一步加载运行任意木马程序。

痛经为什么不能吃辣的
痛经饮食要注意什么
痛经怎么食物调理
分享到: