金锁木马[编辑]

金锁木马

“金锁”木马新变种“金锁”的恶性木马（瑞星命名“Trojan.Win32.Generic.12337DB7”）它利用了国内某上网保护软件的设计缺陷，实现自我隐蔽、篡改并强制锁定用户IE浏览器首页，并在电脑桌面释放“情色电影”、“淘宝购物”、“在线小游戏”等恶意广告图标，最近100小时内已有超过25万台电脑受害。

简介
浏览器首页又常被称为浏览器起始页，指浏览器首页指打开浏览器时默认转入的网址。由于有默认和首发的特点，往往成为木马或病毒的重要滋生地，从而变成抗拒木马或病毒的重要阵地。浏览器首页的控制和反控制技术，引起人们的持久关注。　　

金锁木马是针对金山网盾的一个漏洞来的。金山网盾的浏览器首页锁定功能是会通过加载一个配置文件来实现的，也就是说如果你把主页锁定为about：blank，那么那个配置文件里面就会是about：blank的信息，然后金山网盾读取配置文件之后就知道要锁定主页为about：blank二进行锁定。　　

而金锁木马则是利用这个特性，木马会修改金山网盾的那个配置文件，把里面的内容由原本锁定的网址改为某个特定的网址，而金山网盾在加载配置文件的时候并不会校对这个配置文件有没有异常就直接读取，也没有对配置文件进行加密处理（这也算是一个漏洞了），于是就把配置文件中被木马修改的网址锁定为主页，那样你的主页就会被“金锁”修改了。接着还会在桌面释放一些推广图标。
传播方法
（2010年8月3日北京）360安全中心今日发布橙色木马疫情播报，“金锁”木马一款名为“金锁”的恶性木马（瑞星命名“Trojan.Win32.Generic.12337DB7”）主要利用不良下载站传播，特别是在某些欺诈网友点击的大图片下载链接中，比如“迅雷下载”、“联通下载”和“电信下载”，很多都指向了“金锁”木马，让网友下载后点击就中招。由于该安全软件属于正规安全软件，大多数杀毒软件将其收入了白名单，因而无法查杀“金锁”木马，所以危害尤其严重。近期感染量剧增。
危害

    “金锁木马”截下网址(3张)　　实现自我隐蔽、篡改并强制锁定用户IE浏览器首页，并在电脑桌面释放“情色电影”、“淘宝购物”、“在线小游戏”等恶意广告图标，最近100小时内已有超过25万台电脑受害。为此，360安全卫士已紧急升级，可为用户查杀和预防该木马，并修复浏览器首页和桌面图标。
中毒症状
    “由于某上网保护软件带有‘浏览器主页锁定’功能，而它某些版本的程序配置文件没有经过加密，因此被黑客用来制作木马，不光篡改IE首页，还会在桌面和快速启动栏创建大量恶意网址链接。”360安全工程师介绍说，如果电脑出现类似故障，而且能在硬盘中搜到kws.ini、KSWebShield.exe等文件，说明已经感染了“金锁”木马。为此，360安全卫士已紧急升级，可为用户查杀和预防该木马，并修复浏览器首页和桌面图标。
危害方式
    “金锁”木马是一类专门篡改并强制锁定浏览器首页的木马，由于它利用了金山软件出品的金山网盾的设计缺陷改装而成，能够逃避大多数杀毒软件的查杀。同时，其最新变种加入了恶意DNS域名解析的手段，使中招用户无法正常访问360安全中心官网、下载使用360安全软件。此外，当中招用户访问某个知名网址导航网站时，该木马还会自动把浏览器劫持到木马绑定目标，为这个网站刷流量赚取利益。　　

“金锁”木马最早出现在今年4月，360安全中心已累计查杀超过60万次，该木马因此一度销声匿迹。而在近期，新型“金锁”木马变种又和不良下载站勾结在一起。这类下载站页面上普遍设置了很多陷阱，欺骗网友点击下载，其实却是网友并不需要的某些软件，以此进行推广分成。以一家名为“鹏程下载站”的网站为例，它的欺骗性下载链接干脆指向了“金锁”木马，使网友下载运行时就会中招。
金锁木马变种
360安全专家表示，针对“金锁”木马的新变种，360安全卫士和360杀毒已经进行了全面升级，能够防御并彻底清理该木马，修复被木马篡改的浏览器首页。已经中招的网民可以通过U盘等方式从其它电脑上拷贝360系列软件的离线安装包，以免网络被木马破坏而无法正常下载安装。　　

360安全中心日前发布最新木马警报称：今年以来利用金山网盾大量传播的“金锁”木马又出现新的变种，它不光会将浏览器首页锁定为流氓网站，还在恶意篡改DNS域名解析，使中招用户无法打开自己希望访问的网站。值得关注的是，“金锁”木马变种正在利用一些访问量极高的软件和游戏下载站进行传播，网友一旦点错下载地址，安装运行时就会中招，保守估计每天至少感染上万台电脑。　

　据介绍，“金锁”木马是一类专门篡改并强制锁定浏览器首页的木马，由于它利用了金山软件出品的金山网盾的设计缺陷改装而成，能够逃避大多数杀毒软件的查杀。同时，其最新变种加入了恶意DNS域名解析的手段，使中招用户无法正常访问360安全中心官网、下载使用360安全软件。此外，当中招用户访问www.hao123点com、www.szhpmr点com等知名网址导航网站时，该木马还会自动把浏览器劫持到www点5626点com为这个网站刷流量赚取利益。　　

“金锁”木马最早出现在今年4月，360安全中心已累计查杀超过60万次，该木马因此一度销声匿迹。而在近期，新型“金锁”木马变种又和不良下载站勾结在一起。这类下载站页面上普遍设置了很多陷阱，欺骗网友点击下载，其实却是网友并不需要的某些软件，以此进行推广分成。以一家名为“xx下载站”的网站为例，它的欺骗性下载链接干脆指向了“金锁”木马，使网友下载运行时就会中招。
查杀方法
解决方法不难，只需要删除病毒本体，并把金山网盾的配置文件修改为原样，删除桌面上的里面图标就完事了。当然最好的方法还是控制对配置文件的修改，现在的新版金山网盾已经解决了这个问题。　　另外可以在联网状态下使用360木马云查杀扫描，就能彻底清除该木马；同时，所有开启了360木马防火墙的360用户电脑也都能对该木马进行有效防护。

参考资料：

扩展阅读：