奇虎解密360安全卫士追杀my123全过程

    继雅虎中国在法庭上高奏凯歌，向多家公司递交律师函高调“诉讼正名”之后，轰轰烈烈的反流氓软件运动再度遭遇“插曲”。CNNIC近日发表声明，暗指奇虎公司旗下360安全卫士与之前曾大面积爆发的“my123插件”有染，理由是“my123爆发后，360安全卫士几小时就完成了样本文件的收集、分析、反编译等一系列技术工作，迅速推出专杀工具，响应之快连瑞星、江民等专业杀毒厂商都望尘莫及。”而奇虎公司在回应时表示，示类似指控属对手恶意造谣，并称已就此向公安机关报案，希望彻查。

    据了解，“my123插件”于2006年11月11日开始在互联网上爆发，由于时至周末，多家安全厂商均未能及时采取应对措施，导致该插件的迅猛传播，短短数天之内，受害网友不计其数。360安全卫士在第一时间响应，是业内首家发布其专杀工具的反恶意软件。

    那么，“my123插件”爆发后的数小时内究竟发生了什么？360安全卫士是为什么反应如此之快呢？CNNIC和奇虎公司的“口水战”中，谁在说谎？日前，360安全卫士某主力开发人员透露了详细情况。

    爆发后通过帖子取样本

    据该开发人员表示，2006年11月11日（星期六）下午4点，其当时正在北京附近的怀柔温泉度假，更衣后，发现360安全卫士一版主发来的短信。短信中提到，论坛中有众多网友求救，其浏览器首页均被一家域名为“my123.com”的网站锁定。“我立即给版主回拨电话，确认问题所在。并给另一位360安全卫士的开发人员打电话，要他和版主一起获取my123样本，分析问题所在。”

    该开发人员继续讲述道：“下午5点多，版主与那位我们的开发人员通过帖子问答的方式，从用户那获得了第一个my123的病毒样本。”据记者调查，360安全卫士官方论坛一位ID为“MJ0011”的人士于2006年11月11日曾经发过一篇帖子，要求受害网民上传“my123”插件样本，此举得到一些网友的响应，该开发人员应该指的便是这一帖子。

    “经过反编译后，初步发现，该病毒有日期判断逻辑，即只在11月的第二个星期六时发作。”据安全专家表示，病毒之所以选择在周末发作，主要是利用周末网民上网时间多，而安全厂商反应相对工作日慢的特点，以逃避查杀。

    发现临时解决办法

    该开发人员表示，到2006年11月11日下午6点多，360安全卫士论坛发布“my123插件”临时解决办法，“用户只需要自己更改一下系统时间，即把系统时间改为11月11日之前，可暂时更改回首页。”据悉，因为“my123插件”会自动判断时间，如果时间不是周末，则其会继续潜伏而不发作。

    同样，我们在360安全卫士官方论坛的“紧急救援区”找到了该帖子，该帖子同样是那位ID为“MJ0011”的人士所发表，在帖子中同时表示“这个东西已经完全具备了病毒的特征：潜伏性、传播性、破坏性。”并预告“彻底清除的官方my123专杀将于今晚或明天发布”。

    发布第一、第二版专杀工具

    “到了2006年11月12日凌晨1点多，我们的开发人员终于发布了第一版的专杀工具。但奇怪的是，很多用户仍然无法清除my123插件，于是我们再次获取了几个用户样本重新进行分析。”该开发人员表示：“到了凌晨4点多，第二版的专杀工具终于编写完毕，这个版本已经能解决多数用户的问题。

    据记者了解，之前的几天时间里，“my123插件”又相继产生了多个版本的“变种”，360安全卫士也随之发布了多个版本的专杀工具。对此，该开发人员也表示“分别在12日、15日、19日针对my123发布了专杀工具。”

    至此，瑞星等杀毒软件厂商也开始查杀“my123插件”，这一病毒得到有效控制。据完全专家分析，该病毒的核心部分是一个驱动程序，为随机文件名的sys格式文件，该驱动会在操作系统加载时作为System Bus Extend驱动加载，然后将自身以独占方式打开，导致任何Windows下程序也无法读写及删除它。此外，其还会不停暴力重写注册表，使首页设置为“my123.com”。

    为什么360安全卫士反应如此快

    针对CNNIC“my123爆发后，360安全卫士几小时就完成了样本文件的收集、分析、反编译等一系列技术工作，迅速推出专杀工具，响应之快连瑞星、江民等专业杀毒厂商都望尘莫及。”这一质疑，该开发人员表示“很可笑”，并指出“稍有程序基本知识的人都知道，反汇编更本不需要任何‘厂商’设备，任何一个PC或笔记本都可以。”实际上，之前在各大安全厂商的官方论坛中甚至曾经有网友自己编写病毒专杀工具并提供给网民下载的情况。

    而对于“瑞星等厂商的反应速度慢”，该开发人员认为“瑞星是2006年11月14日才发布”，并表示，“my123插件”与之前的一些普通的以篡改浏览器首页的流氓软件不同，它狡猾地选择了大家都在放假的周末爆发，这也是造成众多安全厂商未能在第一时间截获它并作出反应的原因，“显然，这个插件病毒的开发者是有预谋的，而且十分聪明”。

    最后，该开发人员提醒广大网民，如果再次遇到此类病毒，可以及时向360安全卫士官方论坛举报，并协助上传病毒样本，“我们将和my123插件的处理方式一样，尽最大努力在最短的时间里为网民排忧解难。”
 

中国品牌总网

1