利用360衛(wèi)士漏洞和證書 “360U盤保護木馬”橫行

Win7之家（ afsion.com.cn）：利用360衛(wèi)士漏洞和證書 “360U盤保護木馬”橫行

文章來源：驅(qū)動之家

10月12日，金山安全中心發(fā)布高危木馬疫情播報，一款名為“360U盤保護”的惡性木馬（網(wǎng)友命名)近期感染量劇增，它利用了360軟件管家以及360殺毒的重大安全漏洞，實現(xiàn)木馬自我隱蔽加載，并且使用了360安全衛(wèi)士官方的數(shù)字簽名以躲避其他殺毒軟件的查殺。用戶感染該木馬后，U盤等移動存儲設(shè)備中將出現(xiàn)“360U盤安全保護.exe”、“360安全文件夾（隱藏文件夾，普通用戶無法查看）”等內(nèi)容，經(jīng)過金山安全專家分析后確認此U盤木馬程序可以導致用戶的個人隱私數(shù)據(jù)丟失，從而造成嚴重損失。最近3天內(nèi)已有超過10萬臺電腦受害。為此，金山毒霸以及金山衛(wèi)士已緊急升級，可為用戶查殺和預(yù)防該木馬。 

上圖：大量網(wǎng)友感染“360U盤安全保護”木馬求助

金山安全專家李鐵軍表示，“360 U盤保護”木馬巧妙的利用了360軟件管家以及360殺毒存在的安全漏洞傳播并隱藏在用戶電腦中。如該木馬會利用360軟件管家的漏洞，以360的名義創(chuàng)建快捷方式迷惑用戶，并以此來激活木馬程序。而且，該木馬使用了360安全衛(wèi)士的官方數(shù)字簽名，這樣一來，會導致大部分殺毒軟件信任360安全衛(wèi)士的數(shù)字簽名而對該木馬“放行”。 

李鐵軍指出，“360 U盤保護” 木馬主要通過網(wǎng)頁掛馬、欺詐下載以及U盤等方式進行傳播，該木馬加載以后會在后臺默默檢測用戶電腦內(nèi)是否存在移動設(shè)備（比如U盤，數(shù)碼相機使用的內(nèi)存卡，移動硬盤等），一旦發(fā)現(xiàn)存在移動設(shè)備就蠻橫的將用戶隱私數(shù)據(jù)拷貝到一個名為“360安全文件夾”的隱藏文件夾中，同時創(chuàng)建一個名為“360 U盤安全保護.exe”來使得每次用戶只能點擊此程序U盤才能看到自己的隱私數(shù)據(jù)，同時木馬程序?qū)⒎磸透腥居脩粝到y(tǒng)。用戶電腦一旦感染該木馬，將面臨個人隱私信息丟失風險。

金山安全專家指出，由于360安全衛(wèi)士以及360殺毒用戶數(shù)量比較多，處于對其的信任，用戶會以為360U盤安全保護.exe是360官方出品的軟件（實際上的確包含了360衛(wèi)士的數(shù)字簽名） 因此該360U盤安全保護木馬可以利用用戶心理迅速傳播。用戶一旦發(fā)現(xiàn)U盤或移動硬盤等移動存儲設(shè)備中出現(xiàn)“360U盤安全保護.exe”、隱藏文件夾“360安全文件夾”或在計算機上發(fā)現(xiàn)somkernl.dll、360nzp.dll任何一個文件，均表示該電腦已經(jīng)感染了“360U盤保護” 木馬。 

金山安全專家表示，目前金山毒霸以及金山衛(wèi)士已經(jīng)實現(xiàn)了對“360 U盤保護” 木馬的防護和查殺。一旦發(fā)現(xiàn)上述癥狀的用戶，請立即下載最新版本的金山毒霸或金山衛(wèi)士掃描，就能徹底清除該木馬；同時，所有開啟了金山毒霸以及金山衛(wèi)士實時監(jiān)控的用戶也都能對該木馬進行有效防護。