深入剖析　MY123流氓软件四种清除方法

MY123创造了很多流氓软件的第一，有望争夺流氓软件的“最流氓软件宝座”：

1、驱动保护(System Bus Extend驱动，安全模式下也加载)。

2、随机文件名，DLL和SYS。

3、多线程保护，网络自动升级。

4、极强的自动恢复。

5、驱动文件独占方式，其它任何程序也无法读写及删除。

一、MY123的前世今生

风雨送飘(飘雪piaoxue)归，飞雪(fiexue)迎春到。才别傲讯(allxun)网，又见一二三(MY123)。

短短一个多月时间，这些锁主页的流氓软件已经让上千万的网民明白了什么叫做强盗，什么叫做无耻，什么叫做疯狂。9号的时候就已经听人放言10号以后会有一个流氓会大规模爆发。果然，在2006/11/11号这个光棍节的时候，MY123如期而至。现在看来，原因在于这个流氓软件已经早就潜伏于用户的电脑中，通过和多个其它流氓软件的捆绑以及其它的渠道，已经潜入成百上千万的网民电脑中，平常也是启动的，但判断日期小于11/11号，就潜伏不动，一旦系统时间大于11号，就开始修改用户主页。而选择这个特殊时间，选择在周未的时候，显然也是别有用心，可以利用反病毒厂商假期的时候反应不及时而大规模爆发。

从规模及爆发面积来看，全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页，这和之前爆发的大面积piaoxue.com、feixue.net、73ss.com、9505.com、
81915.com、4199.com等恶意修改用户主页，十分相似。同以往的一些“老流氓”相比，这些新流氓的特征是爆发面积特别大，效果明显，目的明确单一(修改主页)，手段新奇狠毒，叹为观止。

显然这是一场预谋已久的活动，并且短短几天内，这个驱动病毒至少已经有三个不同的版本，造成一些专杀工具失效。这个MY123已经具备所有病毒的特征，希望总有一天法律能将这种无良的作者绳之以法。

二、剖析流氓手段

这个驱动经过层层改进，家庭发扬得很光大，看看：

1、飘雪(piaoxue)

2、飞雪(feixue)

3、QQHelper

4、allxun.com傲讯

5、My123(7255)

最早的MY123只有一个驱动，已经有多个专杀工具可以杀。后来又出现版本2，即多一个同名的.dll位于system32目录下，现在的版本3，是一个非同名的.dll位于system32目录下。今天主要分析一下我手头拿到的这个版本3。