金山网盾被利用成为主页篡改黑客的工具
主页篡改为 2548.cn系统win7 32位
发现经过:
帮用户远程查看,发现注册表和一些常见的首页劫持技术都没有用,但是首页就是2548.cn,于是怀疑是有一些进程或dll导致的,看到有金山网盾的标志,就问用户是否安装过金山网盾,答曰没有,用进程查看发现
网盾安装在 windows目录下C:\WINDOWS\Kingsoft\KSWebShieldSVC,而一般默认是安装C:/program Files/kingsoft/kswebshieldsvc/,显然有问题,尝试的把网盾进程终止,果然主页不再是2548.cn恢复正常了,看来是有黑客利用了金山网盾的主页锁定功能,这个功能本来是用来将恶意地址跳转到用户指定的正常网站的,现在被人利用来进行恶意网站的首页劫持。可以在C:\Documents and Settings\All Users\Application Data\kingsoft\kws目录下看到配置为2548的sp关键字的ini文件。实属双刃剑的另一面。
解决方案:
删除目录
C:\WINDOWS\Kingsoft\KSWebShieldSVC
删除服务
沙发坐起~~~ 哈哈 有趣味.... 黑客高兴死了,免费的午餐啊 是黑客太猥琐呢还是金山有当病毒的潜质? 哇··黑客好强大··· 学习一下 呵呵,学习了 谢谢老大 我就是用金山的 这个很早以前的问题了吧