金山網(wǎng)盾“主頁(yè)鎖定”功能是如何幫木馬作惡的

自今年4月起，大量360用戶在論壇發(fā)帖求助：只要一打開(kāi)瀏覽器，就會(huì)自動(dòng)訪問(wèn)一個(gè)名為“67160網(wǎng)址導(dǎo)航”的陌生網(wǎng)站，里面全是各種詐騙會(huì)員費(fèi)、中獎(jiǎng)手續(xù)費(fèi)的虛假信息。經(jīng)360安全中心分析，這是木馬利用金山網(wǎng)盾的漏洞強(qiáng)制鎖定了受害網(wǎng)民的瀏覽器主頁(yè)，迫使瀏覽器訪問(wèn)釣魚(yú)詐騙網(wǎng)站，而常規(guī)的修改主頁(yè)設(shè)置、編輯注冊(cè)表等方式根本無(wú)法解決。

據(jù)360安全專家分析，金山網(wǎng)盾之所以會(huì)被木馬利用，原因在于它采用了一項(xiàng)存在安全漏洞的“瀏覽器主頁(yè)鎖定功能”。通常情況下，為了方便用戶打開(kāi)常用的網(wǎng)站，瀏覽器自身都提供了設(shè)定主頁(yè)的設(shè)置。以IE瀏覽器為例，用戶設(shè)定的主頁(yè)網(wǎng)址會(huì)保存在注冊(cè)表的HKEY_CURRENT_USER\Software \Microsoft\Internet Explorer\Main處。而金山網(wǎng)盾的“主頁(yè)鎖定”繞開(kāi)了這個(gè)常規(guī)機(jī)制，直接把瀏覽器讀取主頁(yè)網(wǎng)址的請(qǐng)求截取到金山網(wǎng)盾配置文件（kws.ini）設(shè)定的網(wǎng)址。這種做法，對(duì)用戶造成了兩項(xiàng)安全風(fēng)險(xiǎn)：

一、近期網(wǎng)上出現(xiàn)大批捆綁金山網(wǎng)盾的木馬，這類木馬只要把金山網(wǎng)盾中的Kwssp.dll、kwsui.dll、KSWBC.dll、 kswebshield.dll、KSWebShield.exe提取出來(lái)，再在配置文件kws.ini中寫入了黑客想推廣的任意惡意網(wǎng)址，就會(huì)讓中招用戶電腦每天被迫訪問(wèn)這些惡意網(wǎng)址，而且?guī)缀鯚o(wú)法修復(fù)。受害者除了發(fā)現(xiàn)電腦被莫名其妙裝了一個(gè)叫“金山網(wǎng)盾”的安全軟件外，絕對(duì)想不到這個(gè)軟件也正是自己瀏覽器主頁(yè)被強(qiáng)鎖為惡意網(wǎng)址的原因。至于為何木馬能如此輕易捆綁金山網(wǎng)盾并安裝到用戶電腦中，請(qǐng)參見(jiàn)《金山網(wǎng)盾是如何變成“木馬保護(hù)傘”的》。

二、對(duì)很多網(wǎng)民來(lái)說(shuō)，瀏覽器主頁(yè)突然被改已成了檢測(cè)電腦是否中招的重要標(biāo)志。但金山網(wǎng)盾只能為用戶鎖瀏覽器主頁(yè)，卻不能幫用戶殺木馬，還能和木馬“和平相處”。也就是說(shuō)，金山網(wǎng)盾用戶中了木馬，也難以察覺(jué)，以為電腦安然無(wú)恙，再去登錄游戲、網(wǎng)銀、QQ等帳號(hào)時(shí)，反而造成更嚴(yán)重的損失。

針對(duì)金山網(wǎng)盾被木馬利用一事，金山公司雖然發(fā)布了公告，但一個(gè)多月來(lái)仍沒(méi)有修復(fù)漏洞。360安全中心建議網(wǎng)民：及時(shí)檢測(cè)電腦中是否存在 Kwssp.dll、kwsui.dll、KSWBC.dll、kswebshield.dll、KSWebShield.exe、kws.ini等可能被木馬利用的金山文件，并使用360安全衛(wèi)士最新版對(duì)電腦進(jìn)行安全掃描，排除木馬隱患。而360安全衛(wèi)士7.1版所裝備的360“木馬防火墻”，將讓用戶電腦對(duì)99%的木馬完全免疫，從而告別亡羊補(bǔ)牢式的“事后查殺”木馬時(shí)代。