my123.com带着病毒耍流氓
董师傅茶坊
流氓软件调查正在火热进行中,在本次调查统计中,my123.com是出现频率最高的一个词汇。在上期的网络安全版面中,已经报道过my123.com病毒大面积爆发的事件。本期,董师傅就收到一封读者来信。他说自己受到my123.com病毒的骚扰,我们一起看看这封读者来信。
用户投诉信
董师傅:
你好!
我遇到my123.com这个流氓网站了!
前几日我的电脑开机后打开IE发现主页被修改成my123.com了(此前一直用空白首页),用杀毒软件扫描发现有病毒,可是重启后又会被改回去,屡杀不尽。
进程管理器里面也看不到任何可疑进程和启动项。看了上期的《电脑报》才知道这个my123是一个有病毒的网站,还好我根据报纸上的指导,下载了专杀工具,经过一番折腾才让自己的电脑恢复正常。
今天,我朋友的电脑也被这个恶心无比的垃圾网站給锁住了。希望董师傅能调查一下这个my123.com的真相,让全国网民擦亮眼睛看清这条互联网蛀虫!
忠实的读者
2006年11月
流氓网站危害榜最新动向
头号罪犯www.my123.com
近期的头号犯罪分子,强行锁定用户首页无法清除,造成大范围用户感染。后台自动升级,频繁出现新变种对抗查杀。
新恶势力www.3448.com
比my123.com更变态,除了强行锁定首页外,还感染QQ启动文件,使自己随QQ启动加载。更让人发指的是恶意删除注册表项目,导致用户无法进入“安全模式”。
死灰复燃www.7939.com
7939这个老顽固,数次登上罪恶榜还不知悔过自新,本周更加变本加厉抛出新变种。感染后系统会频繁死机重启,系统会根据远程指令任意篡改用户首页。
董师傅调查
11月11日,网民发现一个名为my123.com的网站突然出现在眼前,首页同时被锁定且防毒软件报出有病毒但无法清除。一时间各大论坛求助的呼声此起彼伏,据不完全统计仅当日就有几十万用户被感染,随后几天被感染用户数量呈几何级数增长,截至目前已有上千万用户首页惨遭my123.com锁定。
与此前出现的“piaoxue.com、feixue.net、9505.com”等恶意网站一样,这个my123.com也是个毫无新意的导航网站,但它继承和发扬了上述前辈的“光荣”传统,手段更加隐蔽恶毒,可谓青出于蓝而胜于蓝。
在my123.com病毒刚被发现时,一些安全机构推出了专杀工具,可狡猾的病毒作者发觉后立即修改代码,仅一周时间就炮制出数十个不同变种,并采用了Rootkit技术,同时随机更改驱动名称对自身进程及文件进行保护,躲避追杀。
此病毒运行后利用.DLL动态链接文件注入Explorer和System系统进程,随后窜改注册表文件将自己注册为驱动非法获得最高优先级并实现开机自动加载。这样一来就会出现看不到可疑进程和在安全模式下也无法查杀的情况,因为病毒已经通过线程将自己注入到System进程中。
最可恶的是此病毒会时刻监视注册表的情况,一旦发现其注册表项被删除或改动后会立刻反复重写注册表使用户根本无从修复,达到了“流氓到底”的境界。
随着调查的深入,结果也令人不寒而栗。据消息灵通人士称,早在11月7日就有传言说4天之后会有一新流氓网站突然大范围爆发,手段也更加毒辣,果不其然,11月11日一大早my123.com准时出现在网民眼前。
这就是说其实早在这之前my123.com就随其他流氓软件或恶意网页潜伏在用户系统里,并自行启动加载,不过一直没有发作,而一旦系统时间大于11月11日便开始发作,窜改用户首页。而在病毒代码里我们也找到了印证上述猜测的代码,这让人想起了多年前的CIH病毒……
解决办法
目前各大反病毒厂商和反流氓机构已在严密监测my123.com的最新动向,并更新了一系列清除工具,如瑞星卡卡3.0、金山系统清理及360安全卫士均已经可以根治此病毒。
瑞星卡卡上网安全助手3.0
下载地址http://tool.ikaka.com/
金山系统清理专家
下载地址http://www.duba.net/zt/ksc/down.shtml
360安全卫士“my123.com专杀”
下载地址:http://dl.360safe.com/m1v25.rar
董师傅总结
my123.com造成的大范围感染的规模已经大大超过了常见病毒,不到一月的时间上千万用户被拿下,实在让人惊叹。10月份发起的全民反流氓行动打倒了众多传统流氓软件后,在即将结束的2006年末一股新的流氓网站势力又袭来,这类打着上网导航旗号的恶意网站使尽各种流氓手段技术,比起病毒有过之无不及!
这些带有病毒性质的流氓软件“升级版”是一些利欲熏心的个人或非法小团体为了增加访问量和知名度所为,对付此类小流氓大危害的恶意网站困难更大。只有将其幕后作者揪出来予以法律严惩,才能刹住这股邪风。否则,相信今天消灭了my123,明天又会出来个my456!