360安全衛士被曝“本地提權”后門數月未修復
2010-02-02 10:59:262月1日,有網友在百度知道搜索發現,奇虎360安全衛士存在本地提權后門,經瑞星互聯網攻防實驗室驗證確認,該后門確實存在,并影響360安全衛士全部版本。該后門在2009年11月曝出后,在長達3個月的時間內,奇虎360未作出任何反應。據專家分析,該后門與近期被炒作的“瑞星漏洞”同屬于本地提權后門范圍。
而波蘭安全組織NT Internals在網頁上也確認了此后門,而且用紅字標出奇虎360 的公司名稱(http://www.ntinternals.org/advisory.php)。據專家介紹,該漏洞與“瑞星漏洞”性質相似,均屬于本地提權后門,由于本地提權后門只能在用戶本地執行,所以黑客應用后門進行攻擊的范圍將受到很大限制,到目前為止還未出現實際攻擊案例。
(2月2日18時,瑞星公司發現,該國外組織已經去掉了奇虎公司的網址,鑒于國內多個媒體遭到奇虎360的壓力,該組織此舉或許迫于360壓力而撤除。)
由于360后門會使黑客任意修改注冊表,所以不排除被黑客開后門,進一步利用的可能性。此后門與“瑞星漏洞”相比,影響的后果將更加嚴重。
瑞星公司呼吁,相關安全廠商應摒棄不正當的市場競爭手段,避免將以前流氓插件惡性競爭的方式引入到安全軟件市場中,尊重用戶的知情權,尊重媒體的正當報道權,不要利用惡意歪曲事實的方式來贏得媒體注意力,吸引用戶眼球。
后門涉及360安全衛士的兩個核心文件:bregdrv.sys和bregdll.dll,這兩個文件是360安全衛士為繞過其他殺毒軟件和操作系統的安全監控機制,在用戶電腦中安裝的可以任意修改注冊表的“后門程序”。理論上,由于漏洞運行在系統最高權限級,并且360沒有對后門調用者進行任何安全性檢查,從而導致黑客可以利用任意方式進行攻擊,包括各類木馬病毒、蠕蟲病毒和感染型病毒。