2010-11-10来源:金山安全中心
摘要:360安全软件成木马加载器,用户隐私数据存风险 两个月三个漏洞 2010年8月份 360网络查看器成为木马加载器,同时威胁淘宝用户账号安全 360网络查看器的木马DLL随意加载漏洞:该样本利用netview.exe(360网络查看器主程序,带数字签名)加载dll没有进行安全检查的漏洞加载淘宝盗号木马 2010年10月份 仅仅2个月金山反病毒专家又发现360软件管家和360杀毒同时存在木马DLL随意加载漏洞,以360U盘安全保护的名义
关键词:360,安全软件成木马加载器,用户,隐私数据,存风险
一 两个月三个漏洞
2010年8月份 360网络查看器成为木马加载器,同时威胁淘宝用户账号安全 360网络查看器的木马DLL随意加载漏洞:该样本利用netview.exe(360网络查看器主程序,带数字签名)加载dll没有进行安全检查的漏洞加载淘宝盗号木马
2010年10月份 仅仅2个月金山反病毒专家又发现360软件管家和360杀毒同时存在木马DLL随意加载漏洞,以360U盘安全保护的名义快速通过网络和U盘等移动设备传播。
二 病毒特性:
1 双重隐蔽启动使得它顽固存在用户电脑
(1) 启动文件夹增加名为360的快捷方式以迷惑用户这是一个正常的360启动项目(利用了360软件管家的漏洞)
通过这个启动项目,病毒可以在每次启动电脑的时候激活
(2)篡改系统服务COM+ Event System 指向木马作者进行构造的木马程序(利用了360杀毒的漏洞)
该服务为电脑系统服务,启动该服务可以达到开机加载病毒木马的,随意修改将导致系统功能异常“支持系统事件通知服务(SENS),此服务为订阅组件对象模型(COM)组件事件提供自动分布功能。如果停止此服务,SENS 将关闭,而且不能提供登录和注销通知。如果禁用此服务,显式依赖此服务的其他服务将无法启动。 ”
2 数字签名绕过安全软件安全防御功能
此次发现的木马程序分别使用了360安全卫士的数字签名,数字签名技术被安全厂商使用了作为白文件判断的技术,一旦软件存在漏洞将导致安全软件自动放行木马程序,并且无法检测
3 以360U盘安全保护的名义欺骗用户主动点击木马程序,并且威胁用户移动设备的数据安全
病毒加载以后会在后台默默检测是否存在移动设备(比如U盘,数码相机使用的内存卡,移动硬盘等),一旦发现存在移动设备就蛮横的将用户隐私数据拷贝到一个名为360安全文件夹隐藏文件夹中,同时创建一个名为360U盘安全保护.exe来使得每次用户点击U盘都需要点击这个程序才能看到自己的隐私数据,同时木马程序将反复感染用户系统。
金山毒霸最新版本内置3引擎,即可信云查杀引擎+本地蓝芯II引擎+系统修复引擎。蓝芯II引擎负责本 地高效查杀, 可信云查杀引擎与云端对接识别未知文件,系统修复引擎修复中毒后造成的系统破坏。3引擎协力工作,不仅完美防范病毒,还可以在清除病毒的同时,将病毒木马 造成的破坏完全恢复正常。