传360安全卫士自导自演My123.com病毒事件

　　11月11日，一款名为“my123.com”的恶意软件突然爆发。许多互联网用户在开机时发现自己的浏览器首页被强制篡改为my123.com。更为猖獗的是，在随后的72小时内，my123先后出现了多达6个版本的变种。有数据显示，国内至少有250万台电脑已经感染了这个病毒，一场互联网恐慌自始大面积爆发。

　　就在11号my123.com病毒爆发后不久，360安全卫士遥遥领先于其他杀毒软件厂商，于12号凌晨就推出了号称国内第一款针对该病毒的专杀工具，宣称能有效遏止该病毒的传播。360安全卫士的“应时而动”，赢得了众多互联网用户的拥戴。人们迫不及待地四处下载这个最新的杀毒软件来围剿 my123.com病毒。有数据显示，360安全卫士的累计安装量达到990万，日查杀恶意软件数百万次。360安全卫士顺其自然地成为了当下“最具社会责任感”杀毒软件的代名词。

　　然而笔者近日从某殿堂级IT强人那里得到的消息却着实让人大跌眼镜。就在my123.com肆虐之后，该技术人员有意无意地对这个病毒程序进行了编译。发现这是一个使用[C++]编写的, 使用驱动保护的恶意程序。然而就在程序的源代码里，他发现了一个关键词“WTP”。在业内有一种惯例，编写程序者往往会把自己的名字缩写写到代码里。因此 “WTP”极有可能就是这个程序的缔造者，而“WTP”则让他立刻联想到了圈内的另一名高手——王天平。该技术人员告诉笔者，他发现后曾当面询问过王天平，他笑而不答，并未进行否认。

　　事件真相开始变得扑朔迷离，让人匪夷所思。王天平是谁？此人在圈内也有不小名气，他就是奇虎搜索部门的主要负责人之一，是周鸿祎的一名干将，已经跟随周鸿祎多年。

　　事件进展至此，真相渐渐浮出水面。的确让人意想不到，my123.com病毒与360安全卫士原来竟有可能是“同胞兄弟”！上百万的互联网用户这次都被奇虎彻底地忽悠了一次。自己先制造出一个“杀人劫舍”的流氓，把互联网用户整的苦不堪言，然后又马上变脸为铲除互联网罪恶的“正义英雄”，这场 “英雄救美”的大戏开始还有那么些看头，因为确实赢得了不少的鲜花和掌声。不过当这伎俩被识破，“伪正义英雄”的面具被撕下来之后，奇虎还能用什么样的脸面见人呢？

　　更可笑的是，奇虎今年一直以打击流氓软件的“安全卫士”自居，但据传其亲手打造的my123.com却被公认为是对原先流氓软件的升级，其 “流氓”习性更加恶劣，绝对是流氓中的“精英”。目前，互联网安全专家认为“my123.com”与以往恶意修改浏览器主页的流氓软件不同， “my123.com”采用了Rootkit技术、随机更改驱动名称，对自身进程及文件进行多线程保护，并且具有极强的自动恢复能力，“即便在所有文件都被删除的情况下，该软件仍然可以通过内存恢复，这是前所未有的。” 某安全专家表示：“‘my123.com’是我们遇到的最恶劣的流氓软件，它已经具备了病毒的潜伏性、传播性、破坏性特征，是一款彻头彻尾的病毒！”

　　如今，奇虎的360安全卫士还在不厌其烦地表示，将持续加强对重点恶意软件的甄别和查杀，提升用户的查杀体验。同时还在道貌岸然地呼吁广大网民保持警惕，及时向360安全中心的技术人员举报电脑中不正常现象。令人不得不捏一把冷汗的是，当my123.com病毒与360安全卫士疑似“同胞兄弟”的这个真相被捅破之后，奇虎接下来该如何收场呢？看来，这次的漏子好像是捅大了。

　　事实上，笔者对于奇虎领头羊周鸿祎还是心存佩服的，毕竟流氓软件的鼻祖当真道行不浅，名不虚传，对此一般人只能望尘莫及了。

　　附：流氓软件My123分析报告

　　恶意程序My123

　　这是一个使用[C++]编写的, 使用驱动保护的恶意程序.

　　系统被感染后, 打开IE或者其他浏览器起始页面被篡改为http://***.my123.com/.

　　通过其他恶意程序或者自身下载升级下载并得到执行.

　　该程序修改IE起始页, 并使用HOOK技术, 导致Start Page内容无法正确读取, 使用随机文件名达到屏蔽文件名清除模式

　　1. 恶意软件的升级

　　首先下载升级内容, 然后从升级配置中获取更进一步的自身升级地址.

　　http://dl./dl/mspalnt1.ini

　　http://dl./dl/mspalnt2.ini

　　http://dl./dl/mspalnt3.ini

　　2. DLL本体会复制到系统目录(%SYSTEMDIR%). 驱动则被复制到驱动目录(%SYSTEMDIR%\Drivers\)

　　3. 创建注册表项

　　HKEY_LOCAL_MACHINE\Software\wsword

　　HKEY_LOCAL_MACHINE\Software\mspalnt

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce

　　添加数据为%SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllCanUnloadNow

　　%SYSTEMDIR%\Rundll32.exe "%SYSTEMDIR%\[随机文件名].DLL",DllUnregisterServer

　　4. 会安装驱动进行自我保护