appbeta
传360安全卫士自导自演My123.com病毒事件
将文章归档于 最新资讯 由. xx appbeta on 2006-12-27
非常感谢 GoogleX 投递

11月11日,一款名为"my123.com"的恶意软件突然爆发。许多互联网用户在开机时发现自己的浏览器首页被强制篡改为my123.com。



更为猖獗的是,在随后的72小时内,my123先后出现了多达6个版本的变种。有数据显示,国内至少有250万台电脑已经感染了这个病毒,一场互联网恐慌自始大面积爆发。

  就在11号my123.com病毒爆发后不久,360安全卫士遥遥领先于其他杀毒软件厂商,于12号凌晨就推出了号称国内第一款针对该病毒的专杀工具,宣称能有效遏止该病毒的传播。\

  360安全卫士的"应时而动",赢得了众多互联网用户的拥戴。人们迫不及待地四处下载这个最新的杀毒软件来围剿 my123.com病毒。有数据显示,360安全卫士的累计安装量达到990万,日查杀恶意软件数百万次。360安全卫士顺其自然地成为了当下"最具社会责任感"杀毒软件的代名词。


  然而笔者近日从某殿堂级IT强人那里得到的消息却着实让人大跌眼镜。就在my123.com肆虐之后,该技术人员有意无意地对这个病毒程序进行了编译。发现这是一个使用[C++]编写的, 使用驱动保护的恶意程序。然而就在程序的源代码里,他发现了一个关键词"WTP"。



  在业内有一种惯例,编写程序者往往会把自己的名字缩写写到代码里。因此 "WTP"极有可能就是这个程序的缔造者,而"WTP"则让他立刻联想到了圈内的另一名高手--王天平。该技术人员告诉笔者,他发现后曾当面询问过王天平,他笑而不答,并未进行否认。



  事件真相开始变得扑朔迷离,让人匪夷所思。王天平是谁?此人在圈内也有不小名气,他就是奇虎搜索部门的主要负责人之一,是周鸿祎的一名干将,已经跟随周鸿祎多年。



  事件进展至此,真相渐渐浮出水面。的确让人意想不到,my123.com病毒与360安全卫士原来竟有可能是"同胞兄弟"!上百万的互联网用户这次都被奇虎彻底地忽悠了一次。


  自己先制造出一个"杀人劫舍"的流氓,把互联网用户整的苦不堪言,然后又马上变脸为铲除互联网罪恶的"正义英雄",这场 "英雄救美"的大戏开始还有那么些看头,因为确实赢得了不少的鲜花和掌声。不过当这伎俩被识破,"伪正义英雄"的面具被撕下来之后,奇虎还能用什么样的脸面见人呢?


  更可笑的是,奇虎今年一直以打击流氓软件的"安全卫士"自居,但据传其亲手打造的my123.com却被公认为是对原先流氓软件的升级,其 "流氓"习性更加恶劣,绝对是流氓中的"精英"。


  目前,互联网安全专家认为"my123.com"与以往恶意修改浏览器主页的流氓软件不同, "my123.com"采用了Rootkit技术、随机更改驱动名称,对自身进程及文件进行多线程保护,并且具有极强的自动恢复能力,"即便在所有文件都被删除的情况下,该软件仍然可以通过内存恢复,这是前所未有的。" 某安全专家表示:"'my123.com'是我们遇到的最恶劣的流氓软件,它已经具备了病毒的潜伏性、传播性、破坏性特征,是一款彻头彻尾的病毒!"


  如今,奇虎的360安全卫士还在不厌其烦地表示,将持续加强对重点恶意软件的甄别和查杀,提升用户的查杀体验。同时还在道貌岸然地呼吁广大网民保持警惕,及时向360安全中心的技术人员举报电脑中不正常现象。


  令人不得不捏一把冷汗的是,当my123.com病毒与360安全卫士疑似"同胞兄弟"的这个真相被捅破之后,奇虎接下来该如何收场呢?看来,这次的漏子好像是捅大了。



  事实上,笔者对于奇虎领头羊周鸿祎还是心存佩服的,毕竟流氓软件的鼻祖当真道行不浅,名不虚传,对此一般人只能望尘莫及了。



  附:流氓软件My123分析报告



  恶意程序My123



  这是一个使用[C++]编写的, 使用驱动保护的恶意程序.



  系统被感染后, 打开IE或者其他浏览器起始页面被篡改为http://***.my123.com/.



  通过其他恶意程序或者自身下载升级下载并得到执行.



  该程序修改IE起始页, 并使用HOOK技术, 导致Start Page内容无法正确读取, 使用随机文件名达到屏蔽文件名清除模式



  1. 恶意软件的升级



  首先下载升级内容, 然后从升级配置中获取更进一步的自身升级地址.



  http://dl.hao318.com/dl/mspalnt1.ini



  http://dl.hao318.com/dl/mspalnt2.ini



  http://dl.hao318.com/dl/mspalnt3.ini



  2. DLL本体会复制到系统目录(%SYSTEMDIR%). 驱动则被复制到驱动目录(%SYSTEMDIR%Drivers)



  3. 创建注册表项



  HKEY_LOCAL_MACHINESoftwarewsword



  HKEY_LOCAL_MACHINESoftwaremspalnt



  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunonce



  添加数据为%SYSTEMDIR%Rundll32.exe "%SYSTEMDIR%[随机文件名].DLL",DllCanUnloadNow



  %SYSTEMDIR%Rundll32.exe "%SYSTEMDIR%[随机文件名].DLL",DllUnregisterServer



  4. 会安装驱动进行自我保护





新闻来源:硅谷动力

Permalink: 传360安全卫士自导自演My123.com病毒事件
Tags: 360安全卫士  自导自演  My123.com  病毒事件 
Trackback: http://publish.creative-weblogging.com/publish/mt-tb.pl/79734
img Addthis img Ask img Blinklist img del.icio.us img Digg img Fark img Facebook img Google img Lycos img Ma.gnolia Add this page to Mister Wong Mr Wong img Netscape img Netvousz img Newsvine img Reddit img StumbleUpon img Slashdot img Tailrank img Technorati img Wink img Yahoo

Vote for 传360安全卫士自导自演My123.com病毒事件:

  • Currently 8.33/10
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
分值情况: 8.33 / 3 评分
订阅
Share It
查询我们其它的最新文章:
CW工具栏安设
RSSrss   | 所有的部落格订阅选择
Google google   |   什么是RSS?
Yodao Yodao
Netvibes Netvibes
AnothrAnothr
时事通讯

TwitterFollow us on Twitter!