吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14753|回复: 37
收起左侧

[转载] 金山网盾被利用成为主页篡改黑客的工具

 关闭 [复制链接]
Hmily 发表于 2010-3-28 20:24
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
主页篡改为 2548.cn

系统win7 32位

发现经过:

帮用户远程查看,发现注册表和一些常见的首页劫持技术都没有用,但是首页就是2548.cn,于是怀疑是有一些进程或dll导致的,看到有金山网盾的标志,就问用户是否安装过金山网盾,答曰没有,用进程查看发现

网盾安装在 windows目录下C:\WINDOWS\Kingsoft\KSWebShieldSVC,而一般默认是安装C:/program Files/kingsoft/kswebshieldsvc/,显然有问题,尝试的把网盾进程终止,果然主页不再是2548.cn恢复正常了,看来是有黑客利用了金山网盾的主页锁定功能,这个功能本来是用来将恶意地址跳转到用户指定的正常网站的,现在被人利用来进行恶意网站的首页劫持。可以在C:\Documents and Settings\All Users\Application Data\kingsoft\kws目录下看到配置为2548的sp关键字的ini文件。实属双刃剑的另一面。

解决方案:

删除目录

C:\WINDOWS\Kingsoft\KSWebShieldSVC

删除服务

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Kingsoft Antivirus WebShield Service]

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

www778126c 发表于 2010-3-28 20:25
沙发坐起~~~
ooxxvsxxoo 发表于 2010-3-28 20:30
byxxdrls 发表于 2010-3-28 20:31
system98 发表于 2010-3-28 20:33
是黑客太猥琐呢还是金山有当病毒的潜质?
npc22pk 发表于 2010-3-28 21:03
[s:354]哇··黑客好强大···
0star1 发表于 2010-3-28 21:30
学习一下
hu007 发表于 2010-3-28 23:44
呵呵,学习了
qiaojingxia 发表于 2010-10-9 19:32
谢谢老大 我就是用金山的
文鸟 发表于 2010-10-9 19:43
这个很早以前的问题了吧
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:09

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表