Trojan.Win32.Generic.12337DB7

360安全中心2010年8月3日發布橙色木馬疫情播報，一款“Trojan.Win32.Generic.12337DB7”(瑞星命名)，俗稱“金鎖”的惡性木馬近期感染量劇增，它利用了金山網盾的設計缺陷，實現自我隱蔽、篡改並強制鎖定用戶IE瀏覽器首頁，並在電腦桌面釋放“情色電影”、“淘寶購物”、“線上小遊戲”等惡意廣告圖示，最近100小時內已有超過25萬台電腦受害。為此，360安全衛士已緊急升級，可為用戶查殺和預防該木馬，並修復瀏覽器首頁和桌面圖示。 　360工程師介紹說，利用金山網盾篡改首頁的木馬最早出現在今年4月，“金鎖”木馬是其最新的變種。今年5月2日，金山公司專門發布了公告，承認這一類利用金山網盾的惡意行為，是“流氓程式攻擊”導致用戶下載了“盜版金山網盾”，並提供了清理辦法。但自7月30日開始，黑客又找到了金山網盾新的設計缺陷，並再度利用該軟體來瘋狂地攻擊普通網民。360急救箱在4月份開始提供查殺，截止8月2日24時，360急救箱已累計查殺超過30萬。而根據最近4天來360木馬（雲）查殺的數據，感染“金鎖”木馬的電腦數急劇新增了25.22萬。這意味，至今已有超過45萬網民的電腦因此而中招，而該數據還僅是360用戶中的數據。

“由於金山網盾帶有‘瀏覽器主頁鎖定’功能，而它某些版本的程式配置檔案沒有經過加密，因此被黑客用來製作木馬，不光篡改IE首頁，還會在桌面和快速啟動欄創建大量惡意網址連結。”360安全工程師介紹說，如果電腦出現類似故障，而且能在硬碟中搜到kws.ini、KSWebShield.exe等檔案，說明已經感染了“金鎖”木馬。

根據360安全中心監測數據，“金鎖”木馬主要利用不良下載站傳播，特別是在某些欺詐網友點擊的大圖片下載連結中，比如“迅雷下載”、“聯通下載”和“電信下載”，很多都指向了“金鎖”木馬，讓網友下載後點擊就中招。由於金山網盾屬於正規安全軟體，大多數防毒軟體將其收入了白名單，因而無法查殺“金鎖”木馬，所以危害尤其嚴重。

無獨有偶，瑞星“雲安全”系統近期也截獲了“金鎖”木馬的樣本並發布公告,稱Trojan.Win32.Generic.12337DB7利用一款安全軟體來篡改用戶瀏覽器的首頁。由於其帶有篡改瀏覽器首頁的功能，導致用戶的瀏覽器被強行鎖定為惡意網址。

圖3:瑞星官網發布安全公告

360安全專家表示，目前360安全衛士已經實現了對“金鎖”木馬的防護和查殺。一旦發現上述症狀的用戶，請立即在聯網狀態下使用360木馬雲查殺掃描，就能徹底清除該木馬;同時，所有開啟了360木馬防火牆的360用戶電腦也都能對該木馬進行有效防護。