利用360衛(wèi)士漏洞和證書 “360U盤保護(hù)木馬”橫行

Win7之家（ www.airtaxifl.com）：利用360衛(wèi)士漏洞和證書 “360U盤保護(hù)木馬”橫行

文章來(lái)源：驅(qū)動(dòng)之家

10月12日，金山安全中心發(fā)布高危木馬疫情播報(bào)，一款名為“360U盤保護(hù)”的惡性木馬（網(wǎng)友命名)近期感染量劇增，它利用了360軟件管家以及360殺毒的重大安全漏洞，實(shí)現(xiàn)木馬自我隱蔽加載，并且使用了360安全衛(wèi)士官方的數(shù)字簽名以躲避其他殺毒軟件的查殺。用戶感染該木馬后，U盤等移動(dòng)存儲(chǔ)設(shè)備中將出現(xiàn)“360U盤安全保護(hù).exe”、“360安全文件夾（隱藏文件夾，普通用戶無(wú)法查看）”等內(nèi)容，經(jīng)過(guò)金山安全專家分析后確認(rèn)此U盤木馬程序可以導(dǎo)致用戶的個(gè)人隱私數(shù)據(jù)丟失，從而造成嚴(yán)重?fù)p失。最近3天內(nèi)已有超過(guò)10萬(wàn)臺(tái)電腦受害。為此，金山毒霸以及金山衛(wèi)士已緊急升級(jí)，可為用戶查殺和預(yù)防該木馬。 

上圖：大量網(wǎng)友感染“360U盤安全保護(hù)”木馬求助

金山安全專家李鐵軍表示，“360 U盤保護(hù)”木馬巧妙的利用了360軟件管家以及360殺毒存在的安全漏洞傳播并隱藏在用戶電腦中。如該木馬會(huì)利用360軟件管家的漏洞，以360的名義創(chuàng)建快捷方式迷惑用戶，并以此來(lái)激活木馬程序。而且，該木馬使用了360安全衛(wèi)士的官方數(shù)字簽名，這樣一來(lái)，會(huì)導(dǎo)致大部分殺毒軟件信任360安全衛(wèi)士的數(shù)字簽名而對(duì)該木馬“放行”。 

李鐵軍指出，“360 U盤保護(hù)” 木馬主要通過(guò)網(wǎng)頁(yè)掛馬、欺詐下載以及U盤等方式進(jìn)行傳播，該木馬加載以后會(huì)在后臺(tái)默默檢測(cè)用戶電腦內(nèi)是否存在移動(dòng)設(shè)備（比如U盤，數(shù)碼相機(jī)使用的內(nèi)存卡，移動(dòng)硬盤等），一旦發(fā)現(xiàn)存在移動(dòng)設(shè)備就蠻橫的將用戶隱私數(shù)據(jù)拷貝到一個(gè)名為“360安全文件夾”的隱藏文件夾中，同時(shí)創(chuàng)建一個(gè)名為“360 U盤安全保護(hù).exe”來(lái)使得每次用戶只能點(diǎn)擊此程序U盤才能看到自己的隱私數(shù)據(jù)，同時(shí)木馬程序?qū)⒎磸?fù)感染用戶系統(tǒng)。用戶電腦一旦感染該木馬，將面臨個(gè)人隱私信息丟失風(fēng)險(xiǎn)。

金山安全專家指出，由于360安全衛(wèi)士以及360殺毒用戶數(shù)量比較多，處于對(duì)其的信任，用戶會(huì)以為360U盤安全保護(hù).exe是360官方出品的軟件（實(shí)際上的確包含了360衛(wèi)士的數(shù)字簽名） 因此該360U盤安全保護(hù)木馬可以利用用戶心理迅速傳播。用戶一旦發(fā)現(xiàn)U盤或移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備中出現(xiàn)“360U盤安全保護(hù).exe”、隱藏文件夾“360安全文件夾”或在計(jì)算機(jī)上發(fā)現(xiàn)somkernl.dll、360nzp.dll任何一個(gè)文件，均表示該電腦已經(jīng)感染了“360U盤保護(hù)” 木馬。 

金山安全專家表示，目前金山毒霸以及金山衛(wèi)士已經(jīng)實(shí)現(xiàn)了對(duì)“360 U盤保護(hù)” 木馬的防護(hù)和查殺。一旦發(fā)現(xiàn)上述癥狀的用戶，請(qǐng)立即下載最新版本的金山毒霸或金山衛(wèi)士掃描，就能徹底清除該木馬；同時(shí)，所有開啟了金山毒霸以及金山衛(wèi)士實(shí)時(shí)監(jiān)控的用戶也都能對(duì)該木馬進(jìn)行有效防護(hù)。