WooYun.org

金山毒霸SP4最新版（版本2013.sp4.0.080215） windows xp sp3环境
金山毒霸的几个主程序在运行中会加载几个不存在的DLL文件，导致可能被恶意软件利用进入其进程空间胡做非为。具体见下（不想再分开报告了，打字都嫌累啊）：
kxescore.exe进程加载的缺失DLL列表：
%ProgramFiles%\Kingsoft\Kingsoft Antivirus\ksinst.dll
%ProgramFiles%\Kingsoft\Kingsoft Antivirus\security\ksde\sqlite.dll
%ProgramFiles%\Kingsoft\Kingsoft Antivirus\sqlite.dll
kxetray.exe进程加载的缺失DLL列表：
%ProgramFiles%\Kingsoft\Kingsoft Antivirus\security\ksde\sqlite.dll
%ProgramFiles%\Kingsoft\Kingsoft Antivirus\sqlite.dll
kavlog2.exe进程加载的缺失DLL列表：
%ProgramFiles%\Kingsoft\Kingsoft Antivirus\security\ksde\sqlite.dll
%ProgramFiles%\Kingsoft\Kingsoft Antivirus\sqlite.dll
kscan.exe进程加载的缺失DLL列表：
%ProgramFiles%Kingsoft\Kingsoft Antivirus\ilog.dll
%ProgramFiles%Kingsoft\Kingsoft Antivirus\kavifr.dll
%ProgramFiles%Kingsoft\Kingsoft Antivirus\ksinst.dll
%ProgramFiles%Kingsoft\Kingsoft Antivirus\security\kxescan\kavifr.dll
%ProgramFiles%Kingsoft\Kingsoft Antivirus\subsystem\kxede\kxedecs.dll
需要说明的一点是：金山毒霸在运行时对自己的安装目录已进行自我保护，防止恶意行为向目录里改写或增加文件，想要在金山毒霸的眼皮下把假的DLL文件送进安装目录下让金山毒霸进行加载，难度还是不小的，但不是没可能，需要一定的技巧。金山毒霸做为一款系统安全防护软件，拥有的权限不是一般的高，攻击者一旦让金山毒霸加载起自己的冒名DLL文件，那很容易就可以实现各种非法的行为。
下面是重点来了：
如果说要在金山毒霸的自我保护下增加这些缺失的DLL文件让一般的攻击者束手无策，那下面的漏洞一定会让他们笑开花的。
kscan.exe进程加载的缺失DLL列表：(区别于上面的，不带全路径)
ksmbrfix.dll
kavifr.dll
这两个缺失的DLL文件在加载时没有指定绝对路径，让攻击者有了可乘之机，攻击者可以把这个假的DLL文件放在系统目录windows或windows\system32下，就有了混水摸鱼的机会。原理不用我说明了吧。
最后重点中的重点来了：
一个严格的程序员在写程序时会尽量多做一些细节的检查，避免不必要的漏洞，下面的这个漏洞可以说是马虎程序员的悲剧了，一个小小的疏忽让金山毒霸构建的马其诺防线在一夜之间就被攻破，希望金山在代码的审查上还要再注意啊。
kxescore.exe进程加载的缺失DLL列表：
%ProgramFiles%\Kingsoft\Kingsoft Antivirusksapi.dll
注意到上面那个DLL文件的文件名了吗？很明显的是，它本来应该是
%ProgramFiles%\Kingsoft\Kingsoft Antivirus\ksapi.dll
一个小小的'\'让攻击者心花怒放，金山毒霸尽管对
%ProgramFiles%\Kingsoft\Kingsoft Antivirus
目录做了自我保护，却没有对
%ProgramFiles%\Kingsoft
目录做保护，攻击可以在该目录下构造一个名为"Kingsoft Antivirusksapi.dll"的恶意DLL文件，从而达成攻击。证明见图片。