標籤:

如何評價金山旗下的軟體「kbasesrv」篡改主頁?

02-02

烏雲知識庫4月29日發布的一片文《kbasesrv篡改主頁分析》

以下是文章的內容,原網址附在最下。沒有貼圖。

話說最近瀏覽器首頁莫名其妙變成了金山毒霸網址大全,本來以為是運營商劫持,但仔細排查一遍,才發現是一個名叫kbasesrv的程序在搞鬼,它的數字簽名是「Beijing Kingsoft Security software Co.,Ltd」,確定是金山旗下的軟體無疑。

主頁劫持本來已經見怪不怪了,一般是推廣聯盟的渠道商為了賺錢而各種手段無所不用其極,但是像金山這樣的名門大廠親自動手偷偷摸摸篡改主頁的,還真是比較少見。今天是429首都網路安全日,一家安全公司卻干起了流氓軟體的行當,不能不說是一種莫大的諷刺。

0x01 分析

閑話少敘,接下來深入扒一扒kbasesrv究竟是怎樣偷偷篡改主頁的:

程序MD5:318330C02C334D9B51F3C88027C4787C

程序SHA1:A6253F2C2DE7FB970562A54ED4EC0513BE350C66

該程序由金山旗下軟體靜默下載安裝到電腦里,並用特定參數啟動。參數形式如下:

-tid1:30 -tid2:10 -tod1:24 -tod2:27 -xxlock:68_upd3

其中前面的tid1、tid2、tod1、tod2這4個參數固定不變。最後一個xxlock參數會根據推送軟體的不同而有所不同,根據網上搜集相關情況和實測驗證,目前發現的推廣參數統計結果如下:

-xxlock參數值 對應發起推廣的軟體

68_upd 金山詞霸

68_upd2 PPT美化大師

68_upd3 WPS

88dg_upd 驅動精靈

給參數後,軟體全程靜默安裝並篡改首頁(無參數情況下啟動也是靜默安裝,但不篡改首頁)。僅僅是在桌面上釋放一個名為「網址導航」的快捷方式。

而這是快捷方式對應的程序目錄(目錄內所有可執行程序均帶有有效的金山公司數字簽名,這裡就不一一貼出了):

當然,必須要承認該軟體還是非常「守規矩」地在系統的「添加/刪除程序」面板中放置了對應的卸載項的(至於用戶能不能猜到是這個kbasesrv,他們可能就不是特別關心了)。

雙擊打開桌面的快捷方式,會啟動IE瀏覽器並訪問「毒霸網址大全」:

至此,如果僅僅是釋放一個快捷方式,推廣一下自己的導航站,或許還情有可原,但事情並不這麼簡單。該程序還在系統的桌面進程(explorer.exe)中注入了自己的三個dll文件用以劫持桌面操作——尤其是劫持用戶雙擊運行程序的操作。

其中最下面的「knb3rdhmpg.dll」文件(MD5:5A2CCE5BF78C8D0D8C7F9254376A2C46; SHA1: F1EDBCA2065B0B951344987B59F33387804F32BA)中更是大大方方的直接硬編

碼了待推廣的網址:

同時也列出了大量需要「特別對待」的程序:

為了驗證效果,特意在測試機器中安裝了幾個比較有代表性的瀏覽器。可以看到所有快捷方式後面都是沒有任何啟動參數的,也就是說在乾淨的環境里雙擊啟動這些瀏覽器,他們都會打開默認的主頁:

但是在雙擊運行這些瀏覽器的時候,打開的主頁卻都變成了「毒霸網址大全」

手法則很簡單,因為已經注入了桌面進程,所以只需要在用戶雙擊啟動瀏覽器的時候,悄悄的在桌面進程向對應瀏覽器主程序發送啟動消息的時候插入一條參數就萬事大吉了:

0x02 結語

所謂能力越大,責任越大。安全軟體作為系統的守護神,名正言順地擁有系統的高許可權,也背負著眾多用戶的信任。金山卻偷偷動用旗下多款軟體靜默安裝流氓軟體,而很多用戶還蒙在鼓裡,不知道該怎麼設置回自己習慣的主頁。

若要人不知,除非己莫為。我就想問問金山,無論kbasesrv強姦了多少主頁,為金山增加了多少收入,與丟掉的那些用戶信任相比,真的值得嗎?

http://drops.wooyun.org/news/15514

用的是金山,確實發現每次刪除後會自動安裝kbasesrv,真的很討厭,以前還是比較信任金山的,現在看來這些國內的安全軟體都是一丘之貉

被wps不斷安裝愛淘寶、聚划算等軟體,簡直了。趕緊刪了

早上例行打開我的ShadowS,發現1080埠被佔用,瞬間反映是又安裝了騰訊家的某款軟體,因為上次出現這個問題就是安裝了號稱可以突破公司內網的TIM聊天軟體,然後就把我出去的路給佔掉了,這次找到了PID,又找到了進程,發現竟然是金山,瞬間無語了,沒辦法,誰讓用了人家的wps呢,尊貴的會員也是沒用的

今天早晨起來無聊打開任務管理器 發現可疑進程 打開文件目錄 乖乖 金山的 發現日期是昨晚安裝的 看到目錄里有卸載程序 然後安心了? 隨後百度 堂堂一個對流氓反感的我竟然中招回想昨天到底安裝了啥 恍然大悟 就下載了一個驅動精靈裝機版 哦 shit 媽賣批只是運行一下而已

本人也遇到這個問題 發現文件夾打開最後一個應用程序翻譯成中文是卸載 運行了那個程序 就只剩下幾個.dll文件了

剛剛中招……還好電腦上有個glasswire,可以看到各種靜默聯網的進程名並且給出提示……

直接EVERYTHING走起,進入文件夾發現有uninstall.exe……一運行,什麼提示都沒有直接自爆,連kbasesrv目錄都沒給我留下……

真是乾脆,嘖嘖……

kbasesrv,以前中過一次招,換了幾個殺毒軟體和清理的都不行,網路上搜過很多次,最後某大流氓軟體把這個更流氓的軟體給搜出來了。果斷卸載多有金山軟體,以及kbasesrv這個流氓程序。昨天又有人在電腦上安裝了wps,果斷又出現劫持新標籤頁,以及主頁的情況,所以金山公司在安裝他們的軟體的同時,竟然偷偷在用戶的電腦上安裝流氓軟體而未提醒用戶,太流氓了。不是卸載軟體的事情了,而且流氓到讓人覺得可恥。

你倒是說說該怎麼刪除它啊?M的,一直刪不掉

就是就是,我本來是wps的忠粉,多少人說國內的不照我都堅持在使用,一度付過費,可是這真是深深的打我的臉啊,再被笑,我也得刪除,因為實在太tm影響工作了

我感覺還是第三方搞的鬼,猜測是一些軟體下載網站,為了推廣返點,修改了程序。

純粹YY,歡迎理性探討。

我也發現kbasesrv的進程,非常佔用CPU。

但是,公司電腦上沒有安裝金山系軟體。

這個進程是安裝最新版「百度瀏覽器」「農行安全插件」後發現的。(猜測)

推薦閱讀:

TAG:網路安全 | 流氓軟體 | WPSOffice | 金山軟體 |