双十一期间,火绒对金山系部分软件仿冒其它安全软件,进行广告推广的行为开启拦截查杀(报告见链接 1 )。随后,火绒接到不少用户反馈,称在已经卸载金山毒霸、驱动精灵等软件的情况下,火绒依然出现相关报毒。火绒工程师与用户沟通和远程查看分析后,发现是驱动精灵在卸载时故意留下一个名为“kbasesrv”的后门程序,包含广告模块被火绒报毒。
经过深入分析发现,驱动精灵在卸载时会投放”kbasesrv”后门程序,在用户电脑中执行软件推广、流量劫持、云控锁定浏览器首页等恶意行为。不仅如此,该后门程序还可云控在用户电脑中执行任意文件、拷贝或删除文件、结束进程、修改注册表、向指定窗体发送消息等,这就意味着用户电脑随时面临被远程执行任意操作的风险。 上述种种行为已经满足安全厂商对后门程序的定义,因此火绒对该程序进行查杀。未安装火绒的用户也可以选择火绒专杀工具彻底清除后门程序“kbasesrv”。(专杀地址见链接 2 )
“kbasesrv”后门程序的投放方式除驱动精灵服务项、特殊版本的金山系软件安装包以外,最主要是在驱动精灵被用户卸载时投放。并且该程序部分云控指令会主动规避火绒等主流安全软件以及一些主要省会城市(北京、上海、深圳、广州)。此外,因为”kbasesrv”后门程序组件与金山毒霸、猎豹浏览器、猎豹 Wifi 等众多金山系软件组件有重叠关系,如果金山向这些软件下发云控命令后,它们同样可以实施”kbasesrv”后门程序执行的恶意行为,所以火绒也会相应的对其进行拦截报毒。由于金山系软件用户量较大,导致该后门程序的影响也较为广泛。
事实上,数年前就有用户曝光过金山系软件相关的劫持行为(见链接 3 ),我们也曾报道过金山利用病毒推广安装、仿冒其它安全软件推广广告等行为(报告见链接 1、4 )。火绒并非有意针对某个厂商,确实是这一系列程序行为触及到我们的原则和底线,不加以制止的话,受到损害的将是广大用户的权益。在火绒看来,如果这些软件厂商继续作恶,盘剥用户利益,火绒也将持续拦截、查杀这类危险程序。
全文在火绒官网,V 站不让发链接。
啧啧,这就是“安全”厂商做的事。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.