【51CTO.com 綜合消息】2010年8月3日 ，360安全中心今日發布橙色木馬疫情播報，一款名為“金鎖”的惡性木馬（瑞星命名“Trojan.Win32.Generic.12337DB7”）近期感染量劇增，它利用了金山網盾的設計缺陷，實現自我隱蔽、篡改并強制鎖定用戶IE瀏覽器首頁，并在電腦桌面釋放“情色電影”、“淘寶購物”、“在線小游戲”等惡意廣告圖標，最近100小時內已有超過25萬臺電腦受害。為此，360安全衛士已緊急升級，可為用戶查殺和預防該木馬，并修復瀏覽器首頁和桌面圖標。

360工程師介紹說，利用金山網盾篡改首頁的木馬最早出現在今年4月，“金鎖”木馬是其最新的變種。今年5月2日，金山公司專門發布了公告，承認這一類利用金山網盾的惡意行為，是“流氓程序攻擊”導致用戶下載了“盜版金山網盾”，并提供了清理辦法。但自7月30日開始，黑客又找到了金山網盾新的設計缺陷，并再度利用該軟件來瘋狂地攻擊普通網民。360急救箱在4月份開始提供查殺，截止8月2日24時，360急救箱已累計查殺超過30萬。而根據最近4天來360木馬云查殺的數據，感染“金鎖”木馬的電腦數急劇新增了25.22萬。這意味，至今已有超過45萬網民的電腦因此而中招，而該數據還僅是360用戶中的數據。

“由于金山網盾帶有‘瀏覽器主頁鎖定’功能，而它某些版本的程序配置文件沒有經過加密，因此被黑客用來制作木馬，不光篡改IE首頁，還會在桌面和快速啟動欄創建大量惡意網址鏈接。”360安全工程師介紹說，如果電腦出現類似故障，而且能在硬盤中搜到kws.ini、KSWebShield.exe等文件，說明已經感染了“金鎖”木馬。

根據360安全中心監測數據，“金鎖”木馬主要利用不良下載站傳播，特別是在某些欺詐網友點擊的大圖片下載鏈接中，比如“迅雷下載”、“聯通下載”和“電信下載”，很多都指向了“金鎖”木馬，讓網友下載后點擊就中招。由于金山網盾屬于正規安全軟件，大多數殺毒軟件將其收入了白名單，因而無法查殺“金鎖”木馬，所以危害尤其嚴重。  

圖1、“金鎖”木馬中招現象：IE首頁被篡改為“導航啦”  

圖2：受到“金鎖”木馬利用的金山網盾數字簽名來自珠海金山軟件公司

無獨有偶，瑞星“云安全”系統近期也截獲了“金鎖”木馬的樣本并發布公告,稱Trojan.Win32.Generic.12337DB7利用一款安全軟件來篡改用戶瀏覽器的首頁。由于其帶有篡改瀏覽器首頁的功能，導致用戶的瀏覽器被強行鎖定為惡意網址。  

圖3：瑞星官網發布安全公告

360安全專家表示，目前360安全衛士已經實現了對“金鎖”木馬的防護和查殺。一旦發現上述癥狀的用戶，請立即在聯網狀態下使用360木馬云查殺掃描，就能徹底清除該木馬；同時，所有開啟了360木馬防火墻的360用戶電腦也都能對該木馬進行有效防護。