扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共4页)
MY123创造了很多流氓软件的第一,有望争夺流氓软件的“最流氓软件宝座”:
1、驱动保护(System Bus Extend驱动,安全模式下也加载)。
2、随机文件名,DLL和SYS。
3、多线程保护,网络自动升级。
4、极强的自动恢复。
5、驱动文件独占方式,其它任何程序也无法读写及删除。
一、MY123的前世今生
风雨送飘(飘雪piaoxue)归,飞雪(fiexue)迎春到。才别傲讯(allxun)网,又见一二三(MY123)。
短短一个多月时间,这些锁主页的流氓软件已经让上千万的网民明白了什么叫做强盗,什么叫做无耻,什么叫做疯狂。9号的时候就已经听人放言10号以后会有一个流氓会大规模爆发。果然,在2006/11/11号这个光棍节的时候,MY123如期而至。现在看来,原因在于这个流氓软件已经早就潜伏于用户的电脑中,通过和多个其它流氓软件的捆绑以及其它的渠道,已经潜入成百上千万的网民电脑中,平常也是启动的,但判断日期小于11/11号,就潜伏不动,一旦系统时间大于11号,就开始修改用户主页。而选择这个特殊时间,选择在周未的时候,显然也是别有用心,可以利用反病毒厂商假期的时候反应不及时而大规模爆发。
从规模及爆发面积来看,全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页,这和之前爆发的大面积piaoxue.com、feixue.net、73ss.com、9505.com、
81915.com、4199.com等恶意修改用户主页,十分相似。同以往的一些“老流氓”相比,这些新流氓的特征是爆发面积特别大,效果明显,目的明确单一(修改主页),手段新奇狠毒,叹为观止。
显然这是一场预谋已久的活动,并且短短几天内,这个驱动病毒至少已经有三个不同的版本,造成一些专杀工具失效。这个MY123已经具备所有病毒的特征,希望总有一天法律能将这种无良的作者绳之以法。
二、剖析流氓手段
这个驱动经过层层改进,家庭发扬得很光大,看看:
1、飘雪(piaoxue)
2、飞雪(feixue)
3、QQHelper
4、allxun.com傲讯
5、My123(7255)
最早的MY123只有一个驱动,已经有多个专杀工具可以杀。后来又出现版本2,即多一个同名的.dll位于system32目录下,现在的版本3,是一个非同名的.dll位于system32目录下。今天主要分析一下我手头拿到的这个版本3。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。