my123.com改首頁流氓大面積爆發(fā) 緊急解決方案發(fā)布

11月11日上午,各反流氓軟件網(wǎng)站,殺毒軟件,安全站點(diǎn)論壇接到大量用戶報(bào)告,表示其主頁被惡意軟件篡改為www.my123.com,無法修復(fù).從規(guī)模及爆發(fā)面積來看,全國各地可能有數(shù)百萬甚至上千萬用戶被該流氓惡意修改了主頁,這和之前爆發(fā)的大面積 piaoxue.com,feixue.net,73ss.com,9505.com,81915.com,4199.com等惡意修改用戶主頁,十分相似.

同以往的一些“老流氓”相比,這些新流氓的特征是爆發(fā)面積特別大,效果明顯,目的明確單一(修改主頁),手段新奇狠毒,這次的my123.com流氓又有了一個(gè)新的特點(diǎn),就是集中在11日周六 安全公司及反流氓組織休息時(shí),突然全面爆發(fā) 使得它們中的絕大多數(shù)措手不及,無法有效抑制病毒爆發(fā) 手段卑劣

我于下午4時(shí)從360safe論壇得到惡意軟件的病毒樣本,并開始病毒代碼逆向分析,找到病毒軟肋后,同360safe官方連夜開始制作專殺工具,并于第2天凌晨1時(shí)20分放出可查殺2個(gè)變種的專殺工具,凌晨3時(shí)07分放出可查殺5個(gè)變種的專殺工具,可將該病毒徹底清除之,重新還原首頁.

需要的朋友請到此貼下載:

http://bbs./viewthread.php?tid=29751&extra=page=1&page=1

運(yùn)行查殺工具后自動(dòng)檢測系統(tǒng)是否存在my123及piaoxue、feixue、qqhelper、zaphast等惡意軟件,若存在,點(diǎn)清除　即可殺除之。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

現(xiàn)在給出病毒的基本特征

病毒的核心部分是一個(gè)驅(qū)動(dòng)程序

該驅(qū)動(dòng)程序是隨機(jī)文件名的.sys文件

疑似是之前piaoxue驅(qū)動(dòng)的修正版

該驅(qū)動(dòng)會(huì)在操作系統(tǒng)加載時(shí)作為System Bus Extend驅(qū)動(dòng)加載

然后 會(huì)將自身以獨(dú)占方式打開,導(dǎo)致任何Windows下程序也無法讀寫及刪除它

系統(tǒng)啟動(dòng)后,驅(qū)動(dòng)開始分多個(gè)模塊工作(分別建立多個(gè)線程)

1.服務(wù)保護(hù)模塊:該模塊會(huì)檢測驅(qū)動(dòng)自身的注冊表服務(wù)項(xiàng),不停地暴力重寫自身服務(wù)項(xiàng),使得無法刪除其服務(wù)項(xiàng)

2.自身文件獨(dú)占及句柄檢測保護(hù)模塊等:

會(huì)將自身文件以獨(dú)占方式打開,這樣若不解除獨(dú)占,任何windows下使用常規(guī)訪問文件方法的程序包括殺毒軟件都無法讀寫或者刪除它的驅(qū)動(dòng)程序文件

文件句柄檢測保護(hù)模塊則是為了針對之前我的piaoxue類專殺而進(jìn)行的保護(hù)

之前我的專殺會(huì)強(qiáng)制解除piaoxue類驅(qū)動(dòng)對自身文件的獨(dú)占,從而將其清除

但該驅(qū)動(dòng)增加了這個(gè)保護(hù),會(huì)不停檢測自身文件的獨(dú)占是否被強(qiáng)制解除,如果檢測到,立即再次獨(dú)占

3.篡改首頁模塊:該模塊會(huì)不停暴力重寫注冊表中首頁設(shè)置為www.my123.com,導(dǎo)致無法對該項(xiàng)進(jìn)行修復(fù)

下面來看看為什么這個(gè)流氓會(huì)在11月11日這天突然大面積爆發(fā)

該篡改模塊會(huì)檢測當(dāng)前時(shí)間是否在2006年11月1日到2006年11月10日之間

如果在這段時(shí)間之內(nèi),那么則潛伏下來,只有模塊1和模塊2運(yùn)行,不修改主頁

到了11月11號這天,則啟動(dòng)模塊3,強(qiáng)行篡改用戶主頁

也就是說　11月開始,該流氓早已在大量用戶的機(jī)器上潛伏下來

(去看了下各個(gè)可能感染源的連接,每個(gè)都有數(shù)百萬乃至數(shù)千萬的下載量,有些更是在一些知名的下載網(wǎng)站上)

然后一直不發(fā)作,等到11日,就會(huì)突然發(fā)作,造成“my123流氓不明原因大面積爆發(fā)”的現(xiàn)象,既使反流氓組織措手不及,又使得查出流氓感染源變得困難重重,從piaoxue,feixue,再到現(xiàn)在的my123,其流氓手段已經(jīng)同病毒無異,此次的my123已經(jīng)完全具備了衡量病毒的三大特征: 潛伏性、傳播性、破壞性.