近期，当金山网盾被大批篡改主页木马利用后，不仅“主页锁定”漏洞迟迟没有修复，反而又曝出一个危害更严重的“文件校验”本地提权漏洞。

近期，当金山网盾被大批篡改主页木马利用后，不仅“主页锁定”漏洞迟迟没有修复，反而又曝出一个危害更严重的“文件校验”本地提权漏洞。该漏洞可以让黑客随意加载启动任意木马，同时能使木马变相成为金山网盾的组件，从而躲过所有杀毒软件的查杀。如此一来，安全软件反而成了“木马加载器”和木马的保护伞，这在网络安全行业还是第一次。

经360安全工程师验证，金山网盾通过KSWebShield.exe服务程序开机启动，然后由该程序加载特定目录下的dll文件。由于金山网盾不检查校验这些dll文件的真实性，只是按文件名来加载运行。一旦这些dll文件被木马文件替换，金山网盾就会自动运行该木马文件，同时由于该木马件是由带有金山公司数字签名的金山网盾加载启动的，大多杀毒软件都会将其视为“可信文件”放过。就这样，金山网盾帮木马实现了安全、隐蔽的启动。

据“金山木马”的中招用户反馈：电脑中会出现金山网盾的进程（KSWebShield.exe），同时伴随着电脑卡机、上网变慢等各种现象，但杀毒软件却查不出任何异常。对此，360安全专家解释说，木马要想偷取帐号和隐私，必须先“激活”运行。但由于木马自身的启动项极易被安全软件查杀，因此，存有漏洞的金山网盾反而成了流行木马的常用加载器。

一旦电脑被装上了“金山木马”，这些用户的噩梦就开始了：浏览器主页被锁定在恶意诈骗网址难以修复、中了木马毫无察觉直到账号隐私被盗……详情请见“金山网盾如何成为木马通道”分析报告之二《金山网盾“主页锁定”功能是如何帮木马作恶的》。

对于这个安全漏洞，金山公司于4月27日发布的公告中，将此类木马称为“盗版金山网盾”，并将责任推给了“恶意木马团伙”，还不忘攻击了一把“竞争对手”，却丝毫未提及自身产品存在的安全漏洞。截至目前，金山网盾的这一漏洞仍未修复。

进入论坛>>声明：IT商业新闻网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。文章内容仅供参考。新闻咨询：(010)68023640.

　　推荐阅读

　　酷讯网CEO张海军：不惧怕百度等进入旅游搜索

近日携程副总裁庄宇翔发表博文炮轰酒店、机票盲目直销，祸害旅游业。针对中国在线旅游行业发展的相关问题，5月21日雅虎科技专访了中国知名旅游搜索网站酷讯网CEO张海军。 近日携程副总裁庄宇翔发表博文炮轰酒店、机票>>>详细阅读

本文标题：金山网盾是如何变成“木马保护伞”的

地址：http://www.lgo100.com/a/01/20111231/244226.html

 1/2    1  2 下一页