一问金山：金山网盾变成了木马通道，为何要向用户隐瞒？(金山网盾防火墙)

　　自今年4月起，大量360用户在论坛发帖求助：只要一打开浏览器，就会自动访问一个名为“67160网址导航”的陌生网站，里面全是各种诈骗会员费、中奖手续费的虚假信息。经360安全中心分析，这是木马利用金山网盾的漏洞强制锁定了受害网民的浏览器主页，迫使浏览器访问钓鱼诈骗网站，而常规的修改主页设置、编辑注册表等方式根本无法解决。

　　5月2日，金山公司发布公告。在公告中，金山声称是“流氓程序攻击”导致用户下载了“盗版金山网盾”，却只字不提“木马”二字。同时，金山还暗指竞争对手制造出所谓的“盗版金山网盾并与木马刻意捆绑”，并嫁祸于金山网盾。

　　这样的构思堪称离奇。金山做安全软件还真的是不在行，360推荐金山当导演。

　　实际上，是木马有效利用了金山网盾中的安全漏洞，将金山网盾当成了最佳的作恶平台。换句话说，金山网盾成了木马加载器。

　　一、金山网盾为什么会被木马利用来推广恶意网址？

　　金山网盾的一项“浏览器主页锁定功能”存在安全漏洞。通常情况下，为了方便用户打开常用的网站，浏览器自身都提供了设定主页的设置，并将主页的地址存放在注册表中的一个特定位置。金山网盾为了实现“主页锁定”功能，绕开了这个常规机制，直接把浏览器读取主页网址的请求截取到金山网盾配置文件（kws.ini）设定的网址。然而，木马捆绑上金山网盾后，利用这个安全漏洞，在金山网盾的配置文件上写入木马想要推广的恶意网址，中招的电脑用户每天都必须要访问这些恶意网址了。（详细阅读：金山网盾“主页锁定”功能是如何帮木马作恶的）

　　二、木马为什么要与金山网盾捆绑在一起？

　　木马之所以选择捆绑金山网盾，是由于金山网盾在运行时，只是按特定路径下的文件名来加载DLL文件，而没有校验这些DLL文件是否安全。这个程序的缺陷就给了黑客作恶的机会。简单地说，木马捆绑了金山网盾后，就可以伪装成金山网盾的文件。被捆绑的金山网盾运行时，不仅没有安全功能，还会激活隐藏在其中的木马程序。

　　由于金山网盾是一款安全软件，大多数安全厂商都会将金山网盾默认为安全。所以，捆绑了金山网盾的木马就拥有了天然的“免杀”能力。正因为如此，中招后的网友查不出任何木马病毒来。（详细阅读：金山网盾是如何变成“木马保护伞”的）

　　三、金山网盾为什么能够与木马和平相处？

　　金山网盾的一个重要功能是为用户锁浏览器主页，但被木马捆绑金山网盾后，这个功能就失效了。虽然金山网盾是安全软件，但是却不能帮用户杀木马，反而能与木马“和平相处”。也就是说，金山网盾用户中了木马，也难以察觉，以为电脑安然无恙，再去登录游戏、网银、QQ等帐号时，反而造成更严重的损失。

　　金山网盾的这个安全漏洞危害极大。这一次捆绑金山网盾的木马劫持的只是网民的浏览器首页。如果这个安全漏洞不尽快修复，黑客还可能进一步改造金山网盾，用来捆绑上各种盗号木马和远程控制类木马，把安全软件变成一个名副其实的“木马加载器”，来逃避大多数杀毒软件的查杀。

　　然而，金山网盾至今未修复能够加载木马的安全漏洞。它只是提供了一个急救箱功能，这种解决方案只是临时性的，并未从根本上解决问题。

　　有了安全漏洞不修补，这不是对网民负责任的态度。鉴于此，360安全中心建议网民：及时检测电脑中是否存在Kwssp.dll、kwsui.dll、 KSWBC.dll、kswebshield.dll、KSWebShield.exe、kws.ini等可能被木马利用的金山文件，并使用360安全卫士最新版对电脑进行安全扫描，排除木马隐患。360安全卫士7.1版所装备的360“木马防火墙”，将让用户电脑对99%的木马完全免疫，从而告别亡羊补牢式的“事后查杀”木马时代。