一問金山：金山網(wǎng)盾變成了木馬通道，為何要向用戶隱瞞？

自今年4月起，大量360用戶在論壇發(fā)帖求助：只要一打開瀏覽器，就會(huì)自動(dòng)訪問一個(gè)名為“67160網(wǎng)址導(dǎo)航”的陌生網(wǎng)站，里面全是各種詐騙會(huì)員費(fèi)、中獎(jiǎng)手續(xù)費(fèi)的虛假信息。經(jīng)360安全中心分析，這是木馬利用金山網(wǎng)盾的漏洞強(qiáng)制鎖定了受害網(wǎng)民的瀏覽器主頁，迫使瀏覽器訪問釣魚詐騙網(wǎng)站，而常規(guī)的修改主頁設(shè)置、編輯注冊(cè)表等方式根本無法解決。

5月2日，金山公司發(fā)布公告。在公告中，金山聲稱是“流氓程序攻擊”導(dǎo)致用戶下載了“盜版金山網(wǎng)盾”，卻只字不提“木馬”二字。同時(shí)，金山還暗指競(jìng)爭對(duì)手制造出所謂的“盜版金山網(wǎng)盾并與木馬刻意捆綁”，并嫁禍于金山網(wǎng)盾。

這樣的構(gòu)思堪稱離奇。金山做安全軟件還真的是不在行，360推薦金山當(dāng)導(dǎo)演。

實(shí)際上，是木馬有效利用了金山網(wǎng)盾中的安全漏洞，將金山網(wǎng)盾當(dāng)成了最佳的作惡平臺(tái)。換句話說，金山網(wǎng)盾成了木馬加載器。

一、金山網(wǎng)盾為什么會(huì)被木馬利用來推廣惡意網(wǎng)址？

金山網(wǎng)盾的一項(xiàng)“瀏覽器主頁鎖定功能”存在安全漏洞。通常情況下，為了方便用戶打開常用的網(wǎng)站，瀏覽器自身都提供了設(shè)定主頁的設(shè)置，并將主頁的地址存放在注冊(cè)表中的一個(gè)特定位置。金山網(wǎng)盾為了實(shí)現(xiàn)“主頁鎖定”功能，繞開了這個(gè)常規(guī)機(jī)制，直接把瀏覽器讀取主頁網(wǎng)址的請(qǐng)求截取到金山網(wǎng)盾配置文件（kws.ini）設(shè)定的網(wǎng)址。然而，木馬捆綁上金山網(wǎng)盾后，利用這個(gè)安全漏洞，在金山網(wǎng)盾的配置文件上寫入木馬想要推廣的惡意網(wǎng)址，中招的電腦用戶每天都必須要訪問這些惡意網(wǎng)址了。（詳細(xì)閱讀：金山網(wǎng)盾“主頁鎖定”功能是如何幫木馬作惡的）

二、木馬為什么要與金山網(wǎng)盾捆綁在一起？

木馬之所以選擇捆綁金山網(wǎng)盾，是由于金山網(wǎng)盾在運(yùn)行時(shí)，只是按特定路徑下的文件名來加載DLL文件，而沒有校驗(yàn)這些DLL文件是否安全。這個(gè)程序的缺陷就給了黑客作惡的機(jī)會(huì)。簡單地說，木馬捆綁了金山網(wǎng)盾后，就可以偽裝成金山網(wǎng)盾的文件。被捆綁的金山網(wǎng)盾運(yùn)行時(shí)，不僅沒有安全功能，還會(huì)激活隱藏在其中的木馬程序。

由于金山網(wǎng)盾是一款安全軟件，大多數(shù)安全廠商都會(huì)將金山網(wǎng)盾默認(rèn)為安全。所以，捆綁了金山網(wǎng)盾的木馬就擁有了天然的“免殺”能力。正因?yàn)槿绱?，中招后的網(wǎng)友查不出任何木馬病毒來。（詳細(xì)閱讀：金山網(wǎng)盾是如何變成“木馬保護(hù)傘”的）

三、金山網(wǎng)盾為什么能夠與木馬和平相處？

金山網(wǎng)盾的一個(gè)重要功能是為用戶鎖瀏覽器主頁，但被木馬捆綁金山網(wǎng)盾后，這個(gè)功能就失效了。雖然金山網(wǎng)盾是安全軟件，但是卻不能幫用戶殺木馬，反而能與木馬“和平相處”。也就是說，金山網(wǎng)盾用戶中了木馬，也難以察覺，以為電腦安然無恙，再去登錄游戲、網(wǎng)銀、QQ等帳號(hào)時(shí)，反而造成更嚴(yán)重的損失。

金山網(wǎng)盾的這個(gè)安全漏洞危害極大。這一次捆綁金山網(wǎng)盾的木馬劫持的只是網(wǎng)民的瀏覽器首頁。如果這個(gè)安全漏洞不盡快修復(fù)，黑客還可能進(jìn)一步改造金山網(wǎng)盾，用來捆綁上各種盜號(hào)木馬和遠(yuǎn)程控制類木馬，把安全軟件變成一個(gè)名副其實(shí)的“木馬加載器”，來逃避大多數(shù)殺毒軟件的查殺。

然而，金山網(wǎng)盾至今未修復(fù)能夠加載木馬的安全漏洞。它只是提供了一個(gè)急救箱功能，這種解決方案只是臨時(shí)性的，并未從根本上解決問題。

有了安全漏洞不修補(bǔ)，這不是對(duì)網(wǎng)民負(fù)責(zé)任的態(tài)度。鑒于此，360安全中心建議網(wǎng)民：及時(shí)檢測(cè)電腦中是否存在Kwssp.dll、kwsui.dll、 KSWBC.dll、kswebshield.dll、KSWebShield.exe、kws.ini等可能被木馬利用的金山文件，并使用360安全衛(wèi)士最新版對(duì)電腦進(jìn)行安全掃描，排除木馬隱患。360安全衛(wèi)士7.1版所裝備的360“木馬防火墻”，將讓用戶電腦對(duì)99%的木馬完全免疫，從而告別亡羊補(bǔ)牢式的“事后查殺”木馬時(shí)代。