近期,当金山网盾被大批篡改主页木马利用后,不仅“主页锁定”漏洞迟迟没有修复,反而又曝出一个危害更严重的“文件校验”本地提权漏洞。该漏洞可以让黑客随意加载启动任意木马,同时能使木马变相成为金山网盾的组件,从而躲过所有杀毒软件的查杀。如此一来,安全软件反而成了“木马加载器”和木马的保护伞,这在网络安全行业还是第一次。
经360安全工程师验证,金山网盾通过KSWebShield.exe服务程序开机启动,然后由该程序加载特定目录下的dll文件。由于金山网盾不检查校验这些dll文件的真实性,只是按文件名来加载运行。一旦这些dll文件被木马文件替换,金山网盾就会自动运行该木马文件,同时由于该木马件是由带有金山公司数字签名的金山网盾加载启动的,大多杀毒软件都会将其视为“可信文件”放过。就这样,金山网盾帮木马实现了安全、隐蔽的启动。
据“金山木马”的中招用户反馈:电脑中会出现金山网盾的进程(KSWebShield.exe),同时伴随着电脑卡机、上网变慢等各种现象,但杀毒软件却查不出任何异常。对此,360安全专家解释说,木马要想偷取帐号和隐私,必须先“激活”运行。但由于木马自身的启动项极易被安全软件查杀,因此,存有漏洞的金山网盾反而成了流行木马的常用加载器。
一旦电脑被装上了“金山木马”,这些用户的噩梦就开始了:浏览器主页被锁定在恶意诈骗网址难以修复、中了木马毫无察觉直到账号隐私被盗……详情请见“金山网盾如何成为木马通道”分析报告之二《金山网盾“主页锁定”功能是如何帮木马作恶的》。
对于这个安全漏洞,金山公司于4月27日发布的公告中,将此类木马称为“盗版金山网盾”,并将责任推给了“恶意木马团伙”,还不忘攻击了一把“竞争对手”,却丝毫未提及自身产品存在的安全漏洞。截至目前,金山网盾的这一漏洞仍未修复。
附1:金山公司关于金山网盾被木马利用的公告:
《如何清除盗版的金山网盾?》(地址: http://blog.duba.net/post/fake_kswebshiled_4_27.html )
附2:金山网盾成为木马加载器的技术分析:
金山网盾服务程序KSWebShield.exe提供了“安装服务”和“启动服务”的接口,而KSWebShield.exe没有校验是谁调用了安装服务接口或启动服务接口。从而使木马可以利用现有接口,随意安装并启动该服务。
安装接口是指把以下几个金山网盾的文件放到任意目录:
KSWebShield.exe、KSWBC.dll、kswebshield.dll、kwssp.dll、kwsui.dll
然后,带上-install参数执行上述目录下KSWebShield.exe(此参数为安装服务接口)
再带上-start 参数执行执行上述目录下KSWebShield.exe。(此参数为开启服务接口)
该服务的最小模块只需要以下文件:Kwssp.dll、kwsui.dll、KSWBC.dll和kswebshield.dll。因此,木马只需要先把 KSWebShield.exe和上述4个dll文件捆绑,然后释放到用户计算机的某个目录下,同时,使用“KSWebShield.exe”的“安装服务”接口来安装服务,再使用“启动服务”接口来启动该服务,就可以进一步加载运行任意木马程序。
