万名网友验证金山毒霸恶意驱动 可导致电脑蓝屏

直至终结

　　上周，金山毒霸植入恶意驱动，针对360程序与及带360字样的程序进行暗中拦截，甚至会导致用户电脑蓝屏。目前针对“金山毒霸植入恶意驱动”的活动测试人数已经超过十二万。

$ X$ f, F& F5 y) y) U" l0 s8 D　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920000002.jpg

　　下面内容来自网友的验证结果：

　　在没有安装金山毒霸恶意驱动前，带360字样的程序均可以正常打开。
) l* H# |2 B2 ^, ~+ T: M
: u4 F3 x4 N8 [　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200026047.jpg
　　安装金山毒霸恶意驱动
" M7 x* b# t( @: L6 U( y; K
7 ^+ H9 }. T9 @/ p8 H6 V2 ?& E　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200047092.jpg
- C) m' L& m3 B/ ~' E　　带360字样的程序都无法打开了。

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200103011.jpg
: E! D9 H+ y2 m" s: x7 o% e" _　　甚至有大量测试用户反馈，毒霸恶意驱动甚至会导致用户电脑蓝屏和无限重启。

+ T1 d" u! ~/ b- O% K1 D0 d　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920012102.jpg
7 V3 [: N" _0 H3 ~5 A- }( P2 |  I
* X- j' `) H7 f: F/ R' X( j; {1 G　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200138028.jpg

, r0 o5 {- d  g+ ]( T2 ~+ z5 {$ n　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200157055.jpg

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200216019.jpg
2 E) y+ b" Z9 e
　　据技术型网友分析：
' r9 a( K; x) D$ K- t- M　　DiggerPlus：#金山毒霸植入恶意驱动# 做一个技术性验证，结果：1. @360安全卫士此次提供的sys文件样本数字签名确实为金山 2.将该sys驱动简单逆向一下就能分析出该sys的行为，该sys文件回调函数直接判断进程名中是否包含"360"字样，因此，只要包含"360"都会被干掉。另科普:PsSetCreateProcessNotifyRoutine是向系统注册一个回调函数，当系统中有进程创建的时候就会调用这个函数，而这里的回调函数中检测了"360"字样。

% K- _8 `& `, G% V3 H& O$ p　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200234058.jpg
1 s0 v2 r$ s/ `& _; h6 r0 s
" e0 m; f; l( Q* s/ C+ z/ k　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200251048.jpg

. J& N8 z& ?# Y3 ]+ ~8 X/ ]　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200310092.jpg