发布日期：2010-02-02
更新日期：2010-02-02

受影响系统：

奇虎360 360安全卫士 6.1.5.1009
奇虎360 360安全卫士

描述：

---

BUGTRAQ  ID: 38037

360安全卫士是在中国广泛使用的免费上网安全软件。

360安全卫士会在安装过程中在用户系统上安装一个注册表操作程序，该程序可以被用来绕过操作系统的安全检查机制任意操作（设置、删除等）用户的注册表。由于该程序没有对调用者进行检查，导致任意程序（如各种木马程序等）可以通过该后门任意操作（设置、删除等）用户的注册表系统。

该程序包括两个文件：

1. bregdrv.sys：内核模式驱动，该驱动程序通过调用操作系统的未公开CmXxx系列函数来操作注册表，另外由于操作系统内部本身维护了很多同步数据、缓存数据，直接调用CmXxx系列函数操作注册表极有可能造成系统内部数据不同步，严重影响系统安全性，甚至可能导致用户正常数据丢失。

2. bregdll.dll：用户态动态库，该动态库封装了对bregdrv.sys的调用，为用户态程序提供注册表操作后门的接口。

<*来源：NT Internals
  
  链接：http://it.rising.com.cn/info/2010-02-02/6604.html
        http://bbs.360.cn/3229787/34800737.html?recommend=1
        http://secunia.com/advisories/38424/
        http://marc.info/?l=bugtraq&m=126513117624580&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.exploit-db.com/download/11317

建议：

---

厂商补丁：

奇虎360
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载，或通过产品的自动升级功能修复：

http://www.360.cn/

浏览次数：2697
严重程度：0（网友投票）