[分享]传360安全卫士自导自演My123.com病毒事件

　11月11日，一款名为“my123.com”的恶意软件突然爆发。许多互联网用户在开机时发现自己的浏览器首页被强制篡改为my123.com。<br/><br/>　　更为猖獗的是，在随后的72小时内，my123先后出现了多达6个版本的变种。有数据显示，国内至少有250万台电脑已经感染了这个病毒，一场互联网恐慌自始大面积爆发。<br/><br/>　　就在11号my123.com病毒爆发后不久，360安全卫士遥遥领先于其他杀毒软件厂商，于12号凌晨就推出了号称国内第一款针对该病毒的专杀工具，宣称能有效遏止该病毒的传播。 <p>　　360安全卫士的“应时而动”，赢得了众多互联网用户的拥戴。人们迫不及待地四处下载这个最新的杀毒软件来围剿&nbsp;my123.com病毒。有数据显示，360安全卫士的累计安装量达到990万，日查杀恶意软件数百万次。360安全卫士顺其自然地成为了当下“最具社会责任感”杀毒软件的代名词。</p><p>　　然而笔者近日从某殿堂级IT强人那里得到的消息却着实让人大跌眼镜。就在my123.com肆虐之后，该技术人员有意无意地对这个病毒程序进行了编译。发现这是一个使用[C++]编写的,&nbsp;使用驱动保护的恶意程序。然而就在程序的源代码里，他发现了一个关键词“WTP”。<br/><br/>　　在业内有一种惯例，编写程序者往往会把自己的名字缩写写到代码里。因此&nbsp;“WTP”极有可能就是这个程序的缔造者，而“WTP”则让他立刻联想到了圈内的另一名高手——王天平。该技术人员告诉笔者，他发现后曾当面询问过王天平，他笑而不答，并未进行否认。<br/><br/>　　事件真相开始变得扑朔迷离，让人匪夷所思。王天平是谁？此人在圈内也有不小名气，他就是奇虎搜索部门的主要负责人之一，是周鸿祎的一名干将，已经跟随周鸿祎多年。<br/><br/>　　事件进展至此，真相渐渐浮出水面。的确让人意想不到，my123.com病毒与360安全卫士原来竟有可能是“同胞兄弟”！上百万的互联网用户这次都被奇虎彻底地忽悠了一次。</p><p>　　自己先制造出一个“杀人劫舍”的流氓，把互联网用户整的苦不堪言，然后又马上变脸为铲除互联网罪恶的“正义英雄”，这场&nbsp;“英雄救美”的大戏开始还有那么些看头，因为确实赢得了不少的鲜花和掌声。不过当这伎俩被识破，“伪正义英雄”的面具被撕下来之后，奇虎还能用什么样的脸面见人呢?</p><p>　　更可笑的是，奇虎今年一直以打击流氓软件的“安全卫士”自居，但据传其亲手打造的my123.com却被公认为是对原先流氓软件的升级，其&nbsp;“流氓”习性更加恶劣，绝对是流氓中的“精英”。</p><p>　　目前，互联网安全专家认为“my123.com”与以往恶意修改浏览器主页的流氓软件不同，&nbsp;“my123.com”采用了Rootkit技术、随机更改驱动名称，对自身进程及文件进行多线程保护，并且具有极强的自动恢复能力，“即便在所有文件都被删除的情况下，该软件仍然可以通过内存恢复，这是前所未有的。”&nbsp;某安全专家表示：“‘my123.com’是我们遇到的最恶劣的流氓软件，它已经具备了病毒的潜伏性、传播性、破坏性特征，是一款彻头彻尾的病毒！”</p><p>　　如今，奇虎的360安全卫士还在不厌其烦地表示，将持续加强对重点恶意软件的甄别和查杀，提升用户的查杀体验。同时还在道貌岸然地呼吁广大网民保持警惕，及时向360安全中心的技术人员举报电脑中不正常现象。</p><p>　　令人不得不捏一把冷汗的是，当my123.com病毒与360安全卫士疑似“同胞兄弟”的这个真相被捅破之后，奇虎接下来该如何收场呢？看来，这次的漏子好像是捅大了。<br/><br/>　　事实上，笔者对于奇虎领头羊周鸿祎还是心存佩服的，毕竟流氓软件的鼻祖当真道行不浅，名不虚传，对此一般人只能望尘莫及了。<br/><br/>　　附：流氓软件My123分析报告<br/><br/>　　恶意程序My123<br/><br/>　　这是一个使用[C++]编写的,&nbsp;使用驱动保护的恶意程序.<br/><br/>　　系统被感染后,&nbsp;打开IE或者其他浏览器起始页面被篡改为<a href="http://***.my123.com/">http://***.my123.com/</a>.<br/><br/>　　通过其他恶意程序或者自身下载升级下载并得到执行.<br/><br/>　　该程序修改IE起始页,&nbsp;并使用HOOK技术,&nbsp;导致Start&nbsp;Page内容无法正确读取,&nbsp;使用随机文件名达到屏蔽文件名清除模式<br/><br/>　　1.&nbsp;恶意软件的升级<br/><br/>　　首先下载升级内容,&nbsp;然后从升级配置中获取更进一步的自身升级地址.<br/><br/>　　<a href="http://dl.hao318.com/dl/mspalnt1.ini" target="_blank">http://dl.hao318.com/dl/mspalnt1.ini</a><br/><br/>　　<a href="http://dl.hao318.com/dl/mspalnt2.ini" target="_blank">http://dl.hao318.com/dl/mspalnt2.ini</a><br/><br/>　　<a href="http://dl.hao318.com/dl/mspalnt3.ini" target="_blank">http://dl.hao318.com/dl/mspalnt3.ini</a><br/><br/>　　2.&nbsp;DLL本体会复制到系统目录(%SYSTEMDIR%).&nbsp;驱动则被复制到驱动目录(%SYSTEMDIR%Drivers)<br/><br/>　　3.&nbsp;创建注册表项<br/><br/>　　HKEY_LOCAL_MACHINESoftwarewsword<br/><br/>　　HKEY_LOCAL_MACHINESoftwaremspalnt<br/><br/>　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunonce<br/><br/>　　添加数据为%SYSTEMDIR%Rundll32.exe&nbsp;"%SYSTEMDIR%[随机文件名].DLL",DllCanUnloadNow<br/><br/>　　%SYSTEMDIR%Rundll32.exe&nbsp;"%SYSTEMDIR%[随机文件名].DLL",DllUnregisterServer<br/><br/>　　4.&nbsp;会安装驱动进行自我保护</p>

<p>唉，贼喊捉贼？？</p><p>如此手段提升自己品牌的知名度？？</p>

果然喺另类嘅宣传手段······

我用360安全卫士都无事` `如果真系佢地搞出来都悟会蠢到会有WTP给人稳出来啦!!!! 论坛好麻烦啊``回复都烦到鬼甘!!@!@!@!@!又慢!!!

真的么？我还不知道

<p>无用过啵，迟D试试先</p>