浏览器首页又常被称为浏览器起始页,指浏览器首页指打开浏览器时默认转入的网址。由于有默认和首发的特点,往往成为木马或病毒的重要滋生地,从而变成抗拒木马或病毒的重要阵地。浏览器首页的控制和反控制技术,引起人们的持久关注。
金锁木马是针对金山网盾的一个漏洞来的。金山网盾的浏览器首页锁定功能是会通过加载一个配置文件来实现的,也就是说如果你把主页锁定为about:blank,那么那个配置文件里面就会是about:blank的信息,然后金山网盾读取配置文件之后就知道要锁定主页为about:blank二进行锁定。
而金锁木马则是利用这个特性,木马会修改金山网盾的那个配置文件,把里面的内容由原本锁定的网址改为某个特定的网址,而金山网盾在加载配置文件的时候并不会校对这个配置文件有没有异常就直接读取,也没有对配置文件进行加密处理(这也算是一个漏洞了),于是就把配置文件中被木马修改的网址锁定为主页,那样你的主页就会被“金锁”修改了。接着还会在桌面释放一些推广图标。
(2010年8月3日北京)360安全中心发布橙色木马疫情播报,“金锁”木马一款名为“金锁”的恶性木马(瑞星命名“Trojan.Win32.Generic.12337DB7”)主要利用不良下载站传播,特别是在某些欺诈网友点击的大图片下载链接中,比如“迅雷下载”、“联通下载”和“电信下载”,很多都指向了“金锁”木马,让网友下载后点击就中招。由于该安全软件属于正规安全软件,大多数杀毒软件将其收入了白名单,因而无法查杀“金锁”木马,所以危害尤其严重。
自我隐蔽、篡改并强制锁定用户浏览器首页,并在电脑释放恶意广告图标,100小时内超过25万台电脑受害。为此,360安全卫士已紧急升级,可为用户查杀和预防该木马,并修复浏览器首页和桌面图标。
当中招用户访问某个知名网址导航网站时,该木马还会自动把浏览器劫持到木马绑定目标,为这个网站刷流量赚取利益。
“由于某上网保护软件带有‘浏览器主页锁定’功能,而它某些版本的程序配置文件没有经过加密,因此被黑客用来制作木马,不光篡改IE首页,还会在桌面和快速启动栏创建大量恶意网址链接。”360安全工程师介绍说,如果电脑出现类似故障,而且能在硬盘中搜到kws.ini、KSWebShield.exe等文件,说明已经感染了“金锁”木马。
360安全专家表示,针对“金锁”木马的新变种,360安全卫士和360杀毒已经进行了全面升级,能够防御并彻底清理该木马,修复被木马篡改的浏览器首页。已经中招的网民可以通过U盘等方式从其它电脑上拷贝360系列软件的离线安装包,以免网络被木马破坏而无法正常下载安装。