雙十一期間,火絨對金山系部分軟件仿冒其它安全軟件,進行廣告推廣的行為開啟攔截查殺(報告見鏈接1)。隨後,火絨接到不少用戶反饋,稱在已經卸載金山毒霸、驅動精靈等軟件的情況下,火絨依然出現相關報毒。火絨工程師與用戶溝通和遠程查看分析後,發現是驅動精靈在卸載時故意留下一個名為“kbasesrv”的後門程序,包含廣告模塊被火絨報毒。
經過深入分析發現,驅動精靈在卸載時會投放”kbasesrv”後門程序,在用戶電腦中執行軟件推廣、流量劫持、雲控鎖定瀏覽器首頁等惡意行為。不僅如此,該後門程序還可雲控在用戶電腦中執行任意文件、拷貝或刪除文件、結束進程、修改註冊表、向指定窗體發送消息等,這就意味著用戶電腦隨時面臨被遠程執行任意操作的風險。
上述種種行為已經滿足安全廠商對後門程序的定義,因此火絨對該程序進行查殺。未安裝火絨的用戶也可以選擇火絨專殺工具徹底清除後門程序“kbasesrv”。
“kbasesrv”後門程序的投放方式除驅動精靈服務項、特殊版本的金山系軟件安裝包以外,最主要是在驅動精靈被用戶卸載時投放。並且該程序部分運控指令會主動規避火絨等主流安全軟件以及一些主要省會城市(北京、上海、深圳、廣州)。此外,因為”kbasesrv”後門程序組件與金山毒霸、獵豹瀏覽器、金山Wifi等眾多金山系軟件組件有重疊關係,如果金山向這些軟件下發雲控命令後,它們同樣可以實施”kbasesrv”後門程序執行的惡意行為,所以火絨也會相應的對其進行攔截報毒。由於金山系軟件用戶量較大,導致該後門程序的影響也較為廣泛。
事實上,數年前就有用戶曝光過金山系軟件相關的劫持行為,我們也曾報道過金山利用病毒推廣安裝、仿冒其它安全軟件推廣廣告等行為(報告見鏈接1、2)。火絨並非有意針對某個廠商,確實是這一系列程序行為觸及到我們的原則和底線,不加以制止的話,受到損害的將是廣大用戶的權益。在火絨看來,如果這些軟件廠商繼續作惡,盤剝用戶利益,火絨也將持續攔截、查殺這類危險程序。
在對“瀏覽器主頁劫持”現象曝光後,近日人民日報再次對“彈窗廣告”等損害用戶體驗的商業軟件惡劣行為進行批評,指出相關平臺廠商應該“優化行業生態、加強業界自律”。在此,火絨也呼籲廣大廠商理性逐利,讓用戶不再受到惡意侵擾,享受應有的權益。
注:文中所述後門程序“kbasesrv”曾用名“主頁安全防護”、“金山安全基礎服務”。
相關鏈接:
1、
2、
閱讀更多 火絨安全實驗室 的文章
