近日,360产品陆续出现严重缺陷:2月1日360安全卫士被爆存在“本地提权”漏洞,截止到2月3日11时,其产品并未修复,而官方宣称已修复(见360的官方报道http://bbs.360.cn/3229787/34800737.html?recommend=1)。随后奇虎360安全卫士又被曝出给用户电脑安装“后门”,任意读取用户隐私文件。问题暴露后,奇虎奇虎360不但没有承认自身问题,反而通过删除网络新闻、个人博客、威胁媒体、枪手发帖等手段欺骗用户,掩盖事实真相、混淆视听。瑞星公司本着对所有360用户安全负责的态度,现公布360“后门”部分技术细节,请奇虎360尽快停止安装“后门”,停止侵害用户权益的行为。
请奇虎360公司以严谨的态度尽快面对以下问题。第一:请对360安全卫士存在的“后门”进行解释;第二:对2月1日公布的360安全卫“士本地提权”漏洞仍未修复,却在官方宣布已经修复的问题做出解释;第三:请尽快对以上两大严重产品缺陷进行修复。
360安全卫士“后门”细节分析
360安全卫士后门程序涉及的主要文件是:在安装进入系统时自带的驱动文件bregdrv.sys、bfsdrv.sys,以及对这两个驱动文件调用的动态链接库bregdll.dll、bfsdll.dll。
bregdrv.sys:360内核模式驱动,该驱动程序通过调用操作系统的未公开CmXxx系列函数来操作注册表,另外由于操作系统内部本身维护了很多同步数据、缓存数据,直接调用CmXxx系列函数操作注册表极有可能造成系统内部数据不同步,严重影响系统安全性,甚至可能导致用户正常数据丢失;
bregdll.dll:用户态动态库,该动态库封装了对bregdrv.sys的调用,为用户态程序提供注册表操作后门的接口;该动态库仿照Windows操作系统API接口(加B作为前缀)导出了如下注册表操作函数,但与Windows API不同的是,bregdll.dll导出的函数在实现上绕过了操作系统的所有安全检查,直接调用极为低层的未公开CmXxx系列函数实现:
1.BRegCloseKey 2.BRegCreateKey 3.BRegCreateKeyEx 4.BRegCreateKeyExW
5.BRegCreateKeyW 6.BRegDeleteKey 7.BRegDeleteKeyW 8.BRegDeleteValue
9.BRegDeleteValueW 10.BRegEnumKey 11.BRegEnumKeyEx 12.BRegEnumKeyExW
13.BRegEnumKeyW 14.BRegEnumValue 15.BRegEnumValueW 16.BRegOpenKey
17.BRegOpenKeyEx 18.BRegOpenKeyExW 19.BRegOpenKeyW 20.BRegQueryValueEx
21.BRegQueryValueExW 22.BRegSetValueEx 23.BRegSetValueExW
360后门部分功能代码截图一
