针对今年泛滥的“金锁”木马家族，360安全中心于10月13日发布木马分析报告指出，金山网盾等金山旗下多款安全软件长期存在高危漏洞，而且一直 不予修复，已经导致超过100万网民电脑遭受“金锁”木马及其变种的攻击。在最新出现的“金锁”木马变种中，该木马利用金山网盾漏洞隐蔽启动，并恶意篡改 DNS设置，屏蔽安全厂商的云安全服务器（包括金山自己），对受害用户造成极大的威胁。

    据360安全专家介绍，由于金山网盾没有对dll组件的合法性进行校验就直接加载，从而可以被黑客提取金山网盾的文件，和木马封装在一起。同时，金山网盾 的文件一般被其它安全厂商加入白名单以避免误报，一但被木马利用，会导致其它安全软件也难以查杀。此前，瑞星、360均针对金山网盾漏洞发布多次安全警 报，但不知何故，金山方面一直拒不修复漏洞。

   360安全专家表示，任何软件都可能出现漏洞，重要的是及时解决。如果一款软件因为自身漏洞被木马打包利用，最合理的解决方式应该是尽快修复漏洞，提示用 户升级版本，并且把已经被木马利用的软件版本从白名单中剔除。但金山的做法是长期放任漏洞存在，导致金山网盾等产品的多个版本都可以被木马随意利用，组成 一套具有“免杀”能力的“金锁”木马家族，对用户的QQ、网游甚至网上银行账户都造成了极大的威胁。

    360安全专家建议广大使用金山安全软件的用户，应密切关注电脑的异常情况，如果出现木马反复查杀不尽、恶意桌面图标无法清理等情况，应第一时间向安全厂商求助，或使用360安全卫士彻底查杀木马，以免造成更严重的损失。

    附：金山网盾组件校验漏洞分析

    漏洞产生：金山网盾由于未对组件的合法性进行校验就直接加载，已经被“金锁”木马家族恶意利用。

    问题版本：KSWebShield.exe ≤2010.8.12.72

    签名公司:Zhuhai  Kingsoft Software Co.,Ltd

   由于此漏洞存在多处，本处仅以二个DEMO演示。

    漏洞利用DEMO（一）：

     将金山网盾所在目录下的的kwstray.exe删除，复制系统目录下的calc.exe到金山网盾所在目录并重命名为kwstray.exe，然后执行 金山网盾的KWSMain.exe程序。随后可以看到在金山网盾启动后，被重命名的calc.exe计算器程序也被执行起来了。如图1所示。

图1

    问题版本：KWSMain.exe≤2010.9.1.17

    签名公司:Zhuhai  Kingsoft Software Co.,Ltd

    漏洞利用DEMO（二）：

     将金山网盾所在目录下的的KSWebShield.exe删除，复制系统目录下的calc.exe到金山网盾所在目录并重命名为 KSWebShield.exe，然后执行金山网盾的KWSMain.exe程序。随后可以看到在金山网盾启动后，被重命名的calc.exe计算器程序 也被执行起来了。如图2所示。

图2

(责任编辑：)