减小字体
增大字体- ·上一篇文章:防范非法用户入侵Win XP系统七招
- ·下一篇文章:木马经典十大藏身地点大搜查
my123.com改首页恶意网站解决方案
11月11日上午,各反流氓软件网站,杀毒软件,安全站点论坛接到大量用户报告,表示其主页被恶意软件篡改为www.my123.com,无法修复.从规模及爆发面积来看,全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页,这和之前爆发的大面积 piaoxue.com,feixue.net,73ss.com,9505.com,81915.com,4199.com等恶意修改用户主页,十分相似.
同以往的一些“老流氓”相比,这些新流氓的特征是爆发面积特别大,效果明显,目的明确单一(修改主页),手段新奇狠毒,这次的my123.com流氓又有了一个新的特点,就是集中在11日周六 安全公司及反流氓组织休息时,突然全面爆发,使得它们中的绝大多数措手不及,无法有效抑制病毒爆发,手段卑劣。
我于下午4时从360safe论坛得到恶意软件的病毒样本,并开始病毒代码逆向分析,找到病毒软肋后,同360safe官方连夜开始制作专杀工具,并于第2天凌晨1时20分放出可查杀2个变种的专杀工具,凌晨3时07分放出可查杀5个变种的专杀工具,可将该病毒彻底清除之,重新还原首页.
需要的朋友请到此贴下载:
php?tid=29751&extra=page%3D1page=1" target="_blank" class="article">http://bbs.360safe.com/viewthread.php?tid=29751&extra=page%3D1page=1
运行查杀工具后自动检测系统是否存在my123及piaoxue、feixue、qqhelper、zaphast等恶意软件,若存在,点清除,即可杀除之,非常简单。
现在给出病毒的基本特征
病毒的核心部分是一个驱动程序
该驱动程序是随机文件名的.sys文件
疑似是之前piaoxue驱动的修正版
该驱动会在操作系统加载时作为System Bus Extend驱动加载
然后 会将自身以独占方式打开,导致任何Windows下程序也无法读写及删除它
系统启动后,驱动开始分多个模块工作(分别建立多个线程)
同以往的一些“老流氓”相比,这些新流氓的特征是爆发面积特别大,效果明显,目的明确单一(修改主页),手段新奇狠毒,这次的my123.com流氓又有了一个新的特点,就是集中在11日周六 安全公司及反流氓组织休息时,突然全面爆发,使得它们中的绝大多数措手不及,无法有效抑制病毒爆发,手段卑劣。
我于下午4时从360safe论坛得到恶意软件的病毒样本,并开始病毒代码逆向分析,找到病毒软肋后,同360safe官方连夜开始制作专杀工具,并于第2天凌晨1时20分放出可查杀2个变种的专杀工具,凌晨3时07分放出可查杀5个变种的专杀工具,可将该病毒彻底清除之,重新还原首页.
需要的朋友请到此贴下载:
php?tid=29751&extra=page%3D1page=1" target="_blank" class="article">http://bbs.360safe.com/viewthread.php?tid=29751&extra=page%3D1page=1
运行查杀工具后自动检测系统是否存在my123及piaoxue、feixue、qqhelper、zaphast等恶意软件,若存在,点清除,即可杀除之,非常简单。
现在给出病毒的基本特征
病毒的核心部分是一个驱动程序
该驱动程序是随机文件名的.sys文件
疑似是之前piaoxue驱动的修正版
该驱动会在操作系统加载时作为System Bus Extend驱动加载
然后 会将自身以独占方式打开,导致任何Windows下程序也无法读写及删除它
系统启动后,驱动开始分多个模块工作(分别建立多个线程)
