11月11日,一款名为“my123.com”的恶意软件突然爆发。许多互联网用户在开机时发现自己的浏览器首页被强制篡改为my123.com。<br/><br/> 更为猖獗的是,在随后的72小时内,my123先后出现了多达6个版本的变种。有数据显示,国内至少有250万台电脑已经感染了这个病毒,一场互联网恐慌自始大面积爆发。<br/><br/> 就在11号my123.com病毒爆发后不久,360安全卫士遥遥领先于其他杀毒软件厂商,于12号凌晨就推出了号称国内第一款针对该病毒的专杀工具,宣称能有效遏止该病毒的传播。 <p> 360安全卫士的“应时而动”,赢得了众多互联网用户的拥戴。人们迫不及待地四处下载这个最新的杀毒软件来围剿 my123.com病毒。有数据显示,360安全卫士的累计安装量达到990万,日查杀恶意软件数百万次。360安全卫士顺其自然地成为了当下“最具社会责任感”杀毒软件的代名词。</p><p> 然而笔者近日从某殿堂级IT强人那里得到的消息却着实让人大跌眼镜。就在my123.com肆虐之后,该技术人员有意无意地对这个病毒程序进行了编译。发现这是一个使用[C++]编写的, 使用驱动保护的恶意程序。然而就在程序的源代码里,他发现了一个关键词“WTP”。<br/><br/> 在业内有一种惯例,编写程序者往往会把自己的名字缩写写到代码里。因此 “WTP”极有可能就是这个程序的缔造者,而“WTP”则让他立刻联想到了圈内的另一名高手——王天平。该技术人员告诉笔者,他发现后曾当面询问过王天平,他笑而不答,并未进行否认。<br/><br/> 事件真相开始变得扑朔迷离,让人匪夷所思。王天平是谁?此人在圈内也有不小名气,他就是奇虎搜索部门的主要负责人之一,是周鸿祎的一名干将,已经跟随周鸿祎多年。<br/><br/> 事件进展至此,真相渐渐浮出水面。的确让人意想不到,my123.com病毒与360安全卫士原来竟有可能是“同胞兄弟”!上百万的互联网用户这次都被奇虎彻底地忽悠了一次。</p><p> 自己先制造出一个“杀人劫舍”的流氓,把互联网用户整的苦不堪言,然后又马上变脸为铲除互联网罪恶的“正义英雄”,这场 “英雄救美”的大戏开始还有那么些看头,因为确实赢得了不少的鲜花和掌声。不过当这伎俩被识破,“伪正义英雄”的面具被撕下来之后,奇虎还能用什么样的脸面见人呢?</p><p> 更可笑的是,奇虎今年一直以打击流氓软件的“安全卫士”自居,但据传其亲手打造的my123.com却被公认为是对原先流氓软件的升级,其 “流氓”习性更加恶劣,绝对是流氓中的“精英”。</p><p> 目前,互联网安全专家认为“my123.com”与以往恶意修改浏览器主页的流氓软件不同, “my123.com”采用了Rootkit技术、随机更改驱动名称,对自身进程及文件进行多线程保护,并且具有极强的自动恢复能力,“即便在所有文件都被删除的情况下,该软件仍然可以通过内存恢复,这是前所未有的。” 某安全专家表示:“‘my123.com’是我们遇到的最恶劣的流氓软件,它已经具备了病毒的潜伏性、传播性、破坏性特征,是一款彻头彻尾的病毒!”</p><p> 如今,奇虎的360安全卫士还在不厌其烦地表示,将持续加强对重点恶意软件的甄别和查杀,提升用户的查杀体验。同时还在道貌岸然地呼吁广大网民保持警惕,及时向360安全中心的技术人员举报电脑中不正常现象。</p><p> 令人不得不捏一把冷汗的是,当my123.com病毒与360安全卫士疑似“同胞兄弟”的这个真相被捅破之后,奇虎接下来该如何收场呢?看来,这次的漏子好像是捅大了。<br/><br/> 事实上,笔者对于奇虎领头羊周鸿祎还是心存佩服的,毕竟流氓软件的鼻祖当真道行不浅,名不虚传,对此一般人只能望尘莫及了。<br/><br/> 附:流氓软件My123分析报告<br/><br/> 恶意程序My123<br/><br/> 这是一个使用[C++]编写的, 使用驱动保护的恶意程序.<br/><br/> 系统被感染后, 打开IE或者其他浏览器起始页面被篡改为<a href="http://***.my123.com/">http://***.my123.com/</a>.<br/><br/> 通过其他恶意程序或者自身下载升级下载并得到执行.<br/><br/> 该程序修改IE起始页, 并使用HOOK技术, 导致Start Page内容无法正确读取, 使用随机文件名达到屏蔽文件名清除模式<br/><br/> 1. 恶意软件的升级<br/><br/> 首先下载升级内容, 然后从升级配置中获取更进一步的自身升级地址.<br/><br/> <a href="http://dl.hao318.com/dl/mspalnt1.ini" target="_blank">http://dl.hao318.com/dl/mspalnt1.ini</a><br/><br/> <a href="http://dl.hao318.com/dl/mspalnt2.ini" target="_blank">http://dl.hao318.com/dl/mspalnt2.ini</a><br/><br/> <a href="http://dl.hao318.com/dl/mspalnt3.ini" target="_blank">http://dl.hao318.com/dl/mspalnt3.ini</a><br/><br/> 2. DLL本体会复制到系统目录(%SYSTEMDIR%). 驱动则被复制到驱动目录(%SYSTEMDIR%Drivers)<br/><br/> 3. 创建注册表项<br/><br/> HKEY_LOCAL_MACHINESoftwarewsword<br/><br/> HKEY_LOCAL_MACHINESoftwaremspalnt<br/><br/> HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunonce<br/><br/> 添加数据为%SYSTEMDIR%Rundll32.exe "%SYSTEMDIR%[随机文件名].DLL",DllCanUnloadNow<br/><br/> %SYSTEMDIR%Rundll32.exe "%SYSTEMDIR%[随机文件名].DLL",DllUnregisterServer<br/><br/> 4. 会安装驱动进行自我保护</p> |
|