請注意以下信息

各反流氓軟體網站,殺毒軟體,安全站點論壇接到大量用戶報告,表示其主頁被惡意軟體篡改為www.my123.com,無法修復.從規模及爆發麵積來看,全國各地可能有數百萬甚至上千萬用戶被該流氓惡意修改了主頁,這和之前爆發的大面積 piaoxue.com,feixue.net,73ss.com,9505.com,81915.com,4199.com等惡意修改用戶主頁,十分相似.

　　同以往的一些「老流氓」相比,這些新流氓的特徵是爆發麵積特別大,效果明顯,目的明確單一(修改主頁),手段新奇狠毒,這次的my123.com流氓又有了一個新的特點,就是集中在11日周六 安全公司及反流氓組織休息時,突然全面爆發 使得它們中的絕大多數措手不及,無法有效抑制病毒爆發 手段卑劣

　　我於下午4時從360safe論壇得到惡意軟體的病毒樣本,並開始病毒代碼逆向分析,找到病毒軟肋后,同360safe官方連夜開始製作專殺工具,並於第2天凌晨1時20分放出可查殺2個變種的專殺工具,凌晨3時07分放出可查殺5個變種的專殺工具,可將該病毒徹底清除之,重新還原首頁.

需要的朋友請到此貼下載:

http://bbs.360safe.com/viewthrea ... a=page=1&page=1

運行查殺工具后自動檢測系統是否存在my123及piaoxue、feixue、qqhelper、zaphast等惡意軟體,若存在,點清除　即可殺除之。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

現在給出病毒的基本特徵

病毒的核心部分是一個驅動程序
該驅動程序是隨機文件名的.sys文件
疑似是之前piaoxue驅動的修正版
該驅動會在操作系統載入時作為System Bus Extend驅動載入

然後 會將自身以獨佔方式打開,導致任何Windows下程序也無法讀寫及刪除它

系統啟動后,驅動開始分多個模塊工作(分別建立多個線程)

1.服務保護模塊:該模塊會檢測驅動自身的註冊表服務項,不停地暴力重寫自身服務項,使得無法刪除其服務項

2.自身文件獨佔及句柄檢測保護模塊等:
會將自身文件以獨佔方式打開,這樣若不解除獨佔,任何windows下使用常規訪問文件方法的程序包括殺毒軟體都無法讀寫或者刪除它的驅動程序文件

文件句柄檢測保護模塊則是為了針對之前我的piaoxue類專殺而進行的保護
之前我的專殺會強制解除piaoxue類驅動對自身文件的獨佔,從而將其清除
但該驅動增加了這個保護,會不停檢測自身文件的獨佔是否被強制解除,如果檢測到,立即再次獨佔

3.篡改首頁模塊:該模塊會不停暴力重寫註冊表中首頁設置為www.my123.com,導致無法對該項進行修復


下面來看看為什麼這個流氓會在11月11日這天突然大面積爆發
該篡改模塊會檢測當前時間是否在2006年11月1日到2006年11月10日之間
如果在這段時間之內,那麼則潛伏下來,只有模塊1和模塊2運行,不修改主頁

到了11月11號這天,則啟動模塊3,強行篡改用戶主頁

也就是說　11月開始,該流氓早已在大量用戶的機器上潛伏下來
(去看了下各個可能感染源的連接,每個都有數百萬乃至數千萬的下載量,有些更是在一些知名的下載網站上)
然後一直不發作,等到11日,就會突然發作,造成「my123流氓不明原因大面積爆發」的現象,既使反流氓組織措手不及,又使得查出流氓感染源變得困難重重,從piaoxue,feixue,再到現在的my123,其流氓手段已經同病毒無異,此次的my123已經完全具備了衡量病毒的三大特徵: 潛伏性、傳播性、破壞性.