不良站点再出伎俩 借金山网盾挟持浏览器

动物家园计算机安全咨询中心（ www.kingzoo.com ）反病毒斗士报：

        北京时间2010年5月13日,接到用户举报反映,有不良导航站点借金山网盾挟持浏览器，不管用360、金山卫士、金山急救箱、超级兔子，还是各种杀毒软件都无法查杀和修复。
        

      经过分析，此不良站点利用金山网盾主页保护功能，修改kws.ini配置文件，强制锁顶用户有关Maxthon、360安全浏览器、firefox、世界之窗、chrome、TT等浏览器主页为：

引用:

hxtp://01online.info
或  
hxtp://hao.danow.info

Snap2.gif (53.82 KB)

2010-5-13 22:51

       伪造金山金山网盾的主程序 KSWebShield.exe ，官方的数字签名及软件信息与金山官方版本一样，唯一区别的是版本号为1,0,13854,660；该恶意程序会释放文件隐藏在"C:\Windows\3595.\9341.\ "目录(随机4位数字)， 隐藏方法使用的是文件夹加密，在数字文件夹后面添加“.”，跳过杀毒软件和用户查询，并破坏系统的文件搜索功能；并在系统服务中添加金山网盾的服务，以达到开机加载启动。

       经过测试，目前国内有关清理工具360、金山卫士、金山急救箱、超级兔子、优化大师、鲁大师，还是各种杀毒软件等都无法修复和查杀。

　　如果你发现电脑中了此恶意病毒被挟持浏览器的话，可以用以下方法解决：

　　1、在任务管理器结束伪造的金山网盾程序KSWebShield.exe 进程。
　　2、用动物家园推荐的sreng工具（下载地址： http://bbs.kingzoo.com/thread-8715-1-1.html）删除伪造的金山网盾的启动服务，重启电脑；或者用System Explorer （下载地址： http://bbs.kingzoo.com/thread-51028-1-1.html）
　　3、Win+R 运行 cmd 输入 cd\ 到C:\ >   输入cd windows ,再输入 cd 3595~1   ,   cd 9341~1   ， 输入 attrib *.* -a -s -h -r
　　4、Del *.*
　　5、再cd Application Data\kingsoft\kws\
　　6、 输入 attrib *.* -a -s -h -r
　　7、Del *.*
　　8、删除干净后，再用rd命令一层一层删除目录
　　9、3595.  和 9341.  目录用 rd  3595~1  rd 9341~1 删除

      动物家园计算机安全咨询中心反病毒工程师也在这里提醒下大家： 下载金山网盾请到官方或者大型专业的网站去下载,切勿去一些小站或者个人blog下载,以免造此毒手。

本文出自 “木马屠夫” 博客，转载请与作者联系！