話說最近瀏覽器首頁莫名其妙變成了金山毒霸網址大全,本來以為是運營商劫持,但仔細排查一遍,才發現是一個名叫kbasesrv的程序在搞鬼,它的數字簽名是“Beijing Kingsoft Security software Co.,Ltd”,確定是金山旗下的軟件無疑。
主頁劫持本來已經見怪不怪了,一般是推廣聯盟的渠道商為了賺錢而各種手段無所不用其極,但是像金山這樣的名門大廠親自動手偷偷摸摸篡改主頁的,還真是比較少見。今天是429首都網絡安全日,一家安全公司卻干起了流氓軟件的行當,不能不說是一種莫大的諷刺。
閑話少敘,接下來深入扒一扒kbasesrv究竟是怎樣偷偷篡改主頁的:
程序MD5:318330C02C334D9B51F3C88027C4787C
程序SHA1:A6253F2C2DE7FB970562A54ED4EC0513BE350C66
該程序由金山旗下軟件靜默下載安裝到電腦里,并用特定參數啟動。參數形式如下:
-tid1:30 -tid2:10 -tod1:24 -tod2:27 -xxlock:68_upd3
其中前面的tid1、tid2、tod1、tod2這4個參數固定不變。最后一個xxlock參數會根據推送軟件的不同而有所不同,根據網上搜集相關情況和實測驗證,目前發現的推廣參數統計結果如下:
| -xxlock參數值 | 對應發起推廣的軟件 |
|---|---|
| 68_upd | 金山詞霸 |
| 68_upd2 | PPT美化大師 |
| 68_upd3 | WPS |
| 88dg_upd | 驅動精靈 |
給參數后,軟件全程靜默安裝并篡改首頁(無參數情況下啟動也是靜默安裝,但不篡改首頁)。僅僅是在桌面上釋放一個名為“網址導航”的快捷方式。
而這是快捷方式對應的程序目錄(目錄內所有可執行程序均帶有有效的金山公司數字簽名,這里就不一一貼出了):
當然,必須要承認該軟件還是非常“守規矩”地在系統的“添加/刪除程序”面板中放置了對應的卸載項的(至于用戶能不能猜到是這個kbasesrv,他們可能就不是特別關心了)。
雙擊打開桌面的快捷方式,會啟動IE瀏覽器并訪問“毒霸網址大全”:
至此,如果僅僅是釋放一個快捷方式,推廣一下自己的導航站,或許還情有可原,但事情并不這么簡單。該程序還在系統的桌面進程(explorer.exe)中注入了自己的三個dll文件用以劫持桌面操作——尤其是劫持用戶雙擊運行程序的操作。
其中最下面的“knb3rdhmpg.dll”文件(MD5:5A2CCE5BF78C8D0D8C7F9254376A2C46; SHA1: F1EDBCA2065B0B951344987B59F33387804F32BA)中更是大大方方的直接硬編
碼了待推廣的網址:
同時也列出了大量需要“特別對待”的程序:
為了驗證效果,特意在測試機器中安裝了幾個比較有代表性的瀏覽器。可以看到所有快捷方式后面都是沒有任何啟動參數的,也就是說在干凈的環境里雙擊啟動這些瀏覽器,他們都會打開默認的主頁:
但是在雙擊運行這些瀏覽器的時候,打開的主頁卻都變成了“毒霸網址大全”
手法則很簡單,因為已經注入了桌面進程,所以只需要在用戶雙擊啟動瀏覽器的時候,悄悄的在桌面進程向對應瀏覽器主程序發送啟動消息的時候插入一條參數就萬事大吉了:
所謂能力越大,責任越大。安全軟件作為系統的守護神,名正言順地擁有系統的高權限,也背負著眾多用戶的信任。金山卻偷偷動用旗下多款軟件靜默安裝流氓軟件,而很多用戶還蒙在鼓里,不知道該怎么設置回自己習慣的主頁。
若要人不知,除非己莫為。我就想問問金山,無論kbasesrv強奸了多少主頁,為金山增加了多少收入,與丟掉的那些用戶信任相比,真的值得嗎?