my123.com改首页流氓大面积爆发，360safe 24小时内赶制出专杀工具

11月11日上午，各反流氓软件网站，杀毒软件，安全站点论坛接到大量用户报告，表示其主页被恶意软件篡改为www.my123.com，无法修复

从规模及爆发面积来看，全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页，这和之前爆发的大面积 piaoxue.com,feixue.net,73ss.com,9505.com,81915.com,4199.com等恶意修改用户主页，十分相似

同以往的一些“老流氓”相比，这些新流氓的特征是爆发面积特别大，效果明显，目的明确单一（修改主页），手段新奇狠毒

这次的my123.com流氓又有了一个新的特点，就是集中在11日周六 安全公司及反流氓组织休息时，突然全面爆发 使得它们中的绝大多数措手不及，无法有效抑制病毒爆发 手段卑劣

我于下午4时从360safe论坛得到恶意软件的病毒样本，并开始病毒代码逆向分析

找到病毒软肋后

同360safe官方连夜开始制作专杀工具
并于第2天凌晨1时20分放出可查杀2个变种的专杀工具
凌晨3时07分放出可查杀5个变种的专杀工具

可将该病毒彻底清除之，重新还原首页

需要的朋友请到此贴下载:

http://bbs.360safe.com/viewthread.php?tid=29751&extra=page%3D1&page=1

运行查杀工具后自动检测系统是否存在my123及piaoxue、feixue、qqhelper、zaphast等恶意软件，若存在，点清除　即可杀除之，非常简单　呵呵

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

现在给出病毒的基本特征

病毒的核心部分是一个驱动程序
该驱动程序是随机文件名的.sys文件
疑似是之前piaoxue驱动的修正版
该驱动会在操作系统加载时作为System Bus Extend驱动加载

然后 会将自身以独占方式打开，导致任何Windows下程序也无法读写及删除它

系统启动后，驱动开始分多个模块工作（分别建立多个线程）

1.服务保护模块:该模块会检测驱动自身的注册表服务项，不停地暴力重写自身服务项，使得无法删除其服务项

2.自身文件独占及句柄检测保护模块等:
会将自身文件以独占方式打开，这样若不解除独占，任何windows下使用常规访问文件方法的程序包括杀毒软件都无法读写或者删除它的驱动程序文件

文件句柄检测保护模块则是为了针对之前我的piaoxue类专杀而进行的保护
之前我的专杀会强制解除piaoxue类驱动对自身文件的独占，从而将其清除
但该驱动增加了这个保护，会不停检测自身文件的独占是否被强制解除，如果检测到，立即再次独占

2.篡改首页模块:该模块会不停暴力重写注册表中首页设置为www.my123.com，导致无法对该项进行修复

下面来看看为什么这个流氓会在11月11日这天突然大面积爆发
该篡改模块会检测当前时间是否在2006年11月1日到2006年11月10日之间
如果在这段时间之内，那么则潜伏下来，只有模块1和模块2运行，不修改主页

到了11月11号这天，则启动模块3,强行篡改用户主页

也就是说　11月开始，该流氓早已在大量用户的机器上潜伏下来
（去看了下各个可能感染源的连接，每个都有数百万乃至数千万的下载量，有些更是在一些知名的下载网站上）
然后一直不发作，等到11日，就会突然发作，造成“my123流氓不明原因大面积爆发”的现象，既使反流氓组织措手不及，又使得查出流氓感染源变得困难重重

从piaoxue,feixue,再到现在的my123，其流氓手段已经同病毒无异
此次的my123已经完全具备了衡量病毒的三大特征： 潜伏性、传播性、破坏性

在我们在道德上对这些病毒作者及网站站长进行谴责的同时，这些人更应受到法律的制裁

各位遇到有恶意软件或病毒的情况，欢迎来360safe的论坛举报及求援
本人及360safe官方的应急处理部门，将及时消灭一切敢于损害用户利益的恶意软件:)