360安全中心今日发布橙色木马疫情播报，一款名为“金锁”的恶性木马（瑞星命名“Trojan.Win32.Generic.12337DB7”）近期感染量剧增，它利用了金山网盾的设计缺陷，实现自我隐蔽、篡改并强制锁定用户IE浏览器首页，并在电脑桌面释放“情色电影”、“淘宝购物”、“在线小游戏”等恶意广告图标，最近100小时内已有超过25万台电脑受害。

　　为此，360安全卫士已紧急升级，可为用户查杀和预防该木马，并修复浏览器首页和桌面图标。

　　360工程师介绍说，利用金山网盾篡改首页的木马最早出现在今年4月，“金锁”木马是其最新的变种。今年5月2日，金山公司专门发布了公告，承认这一类利用金山网盾的恶意行为，是“流氓程序攻击”导致用户下载了“盗版金山网盾”，并提供了清理办法。

　　但自7月30日开始，黑客又找到了金山网盾新的设计缺陷，并再度利用该软件来疯狂地攻击普通网民。360急救箱在4月份开始提供查杀，截止8月2日24时，360急救箱已累计查杀超过30万。

　　而根据最近4天来360木马云查杀的数据，感染“金锁”木马的电脑数急剧新增了25.22万。这意味，至今已有超过45万网民的电脑因此而中招，而该数据还仅是360用户中的数据。

　　“由于金山网盾带有‘浏览器主页锁定’功能，而它某些版本的程序配置文件没有经过加密，因此被黑客用来制作木马，不光篡改IE首页，还会在桌面和快速启动栏创建大量恶意网址链接。”360安全工程师介绍说，如果电脑出现类似故障，而且能在硬盘中搜到kws.ini、KSWebShield.exe等文件，说明已经感染了“金锁”木马。

　　根据360安全中心监测数据，“金锁”木马主要利用不良下载站传播，特别是在某些欺诈网友点击的大图片下载链接中，比如“迅雷下载”、“联通下载”和“电信下载”，很多都指向了“金锁”木马，让网友下载后点击就中招。

　　由于金山网盾属于正规安全软件，大多数杀毒软件将其收入了白名单，因而无法查杀“金锁”木马，所以危害尤其严重。

图1、“金锁”木马中招现象：IE首页被篡改为“导航啦”

图2：受到“金锁”木马利用的金山网盾数字签名来自珠海金山软件公司

　　无独有偶，瑞星“云安全”系统近期也截获了“金锁”木马的样本并发布公告，称Trojan.Win32.Generic.12337DB7利用一款安全软件来篡改用户浏览器的首页。由于其带有篡改浏览器首页的功能，导致用户的浏览器被强行锁定为恶意网址。

图3：瑞星官网发布安全公告

　　360安全专家表示，目前360安全卫士已经实现了对“金锁”木马的防护和查杀。一旦发现上述症状的用户，请立即在联网状态下使用360木马云查杀扫描，就能彻底清除该木马；同时，所有开启了360木马防火墙的360用户电脑也都能对该木马进行有效防护。

[返回软件频道首页]