【51CTO.com 綜合消息】2010年8月3日 ，360安全中心今日發(fā)布橙色木馬疫情播報，一款名為“金鎖”的惡性木馬（瑞星命名“Trojan.Win32.Generic.12337DB7”）近期感染量劇增，它利用了金山網(wǎng)盾的設(shè)計缺陷，實現(xiàn)自我隱蔽、篡改并強制鎖定用戶IE瀏覽器首頁，并在電腦桌面釋放“情色電影”、“淘寶購物”、“在線小游戲”等惡意廣告圖標，最近100小時內(nèi)已有超過25萬臺電腦受害。為此，360安全衛(wèi)士已緊急升級，可為用戶查殺和預(yù)防該木馬，并修復(fù)瀏覽器首頁和桌面圖標。

360工程師介紹說，利用金山網(wǎng)盾篡改首頁的木馬最早出現(xiàn)在今年4月，“金鎖”木馬是其最新的變種。今年5月2日，金山公司專門發(fā)布了公告，承認這一類利用金山網(wǎng)盾的惡意行為，是“流氓程序攻擊”導(dǎo)致用戶下載了“盜版金山網(wǎng)盾”，并提供了清理辦法。但自7月30日開始，黑客又找到了金山網(wǎng)盾新的設(shè)計缺陷，并再度利用該軟件來瘋狂地攻擊普通網(wǎng)民。360急救箱在4月份開始提供查殺，截止8月2日24時，360急救箱已累計查殺超過30萬。而根據(jù)最近4天來360木馬云查殺的數(shù)據(jù)，感染“金鎖”木馬的電腦數(shù)急劇新增了25.22萬。這意味，至今已有超過45萬網(wǎng)民的電腦因此而中招，而該數(shù)據(jù)還僅是360用戶中的數(shù)據(jù)。

“由于金山網(wǎng)盾帶有‘瀏覽器主頁鎖定’功能，而它某些版本的程序配置文件沒有經(jīng)過加密，因此被黑客用來制作木馬，不光篡改IE首頁，還會在桌面和快速啟動欄創(chuàng)建大量惡意網(wǎng)址鏈接。”360安全工程師介紹說，如果電腦出現(xiàn)類似故障，而且能在硬盤中搜到kws.ini、KSWebShield.exe等文件，說明已經(jīng)感染了“金鎖”木馬。

根據(jù)360安全中心監(jiān)測數(shù)據(jù)，“金鎖”木馬主要利用不良下載站傳播，特別是在某些欺詐網(wǎng)友點擊的大圖片下載鏈接中，比如“迅雷下載”、“聯(lián)通下載”和“電信下載”，很多都指向了“金鎖”木馬，讓網(wǎng)友下載后點擊就中招。由于金山網(wǎng)盾屬于正規(guī)安全軟件，大多數(shù)殺毒軟件將其收入了白名單，因而無法查殺“金鎖”木馬，所以危害尤其嚴重。  

圖1、“金鎖”木馬中招現(xiàn)象：IE首頁被篡改為“導(dǎo)航啦”  

圖2：受到“金鎖”木馬利用的金山網(wǎng)盾數(shù)字簽名來自珠海金山軟件公司

無獨有偶，瑞星“云安全”系統(tǒng)近期也截獲了“金鎖”木馬的樣本并發(fā)布公告,稱Trojan.Win32.Generic.12337DB7利用一款安全軟件來篡改用戶瀏覽器的首頁。由于其帶有篡改瀏覽器首頁的功能，導(dǎo)致用戶的瀏覽器被強行鎖定為惡意網(wǎng)址。  

圖3：瑞星官網(wǎng)發(fā)布安全公告

360安全專家表示，目前360安全衛(wèi)士已經(jīng)實現(xiàn)了對“金鎖”木馬的防護和查殺。一旦發(fā)現(xiàn)上述癥狀的用戶，請立即在聯(lián)網(wǎng)狀態(tài)下使用360木馬云查殺掃描，就能徹底清除該木馬；同時，所有開啟了360木馬防火墻的360用戶電腦也都能對該木馬進行有效防護。