万名网友验证金山毒霸恶意驱动 可导致电脑蓝屏

直至终结

　　上周，金山毒霸植入恶意驱动，针对360程序与及带360字样的程序进行暗中拦截，甚至会导致用户电脑蓝屏。目前针对“金山毒霸植入恶意驱动”的活动测试人数已经超过十二万。
' R0 Q. B  q5 s5 B  P' ]# w4 D
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920000002.jpg

' l$ c9 A; H2 Z5 m　　下面内容来自网友的验证结果：
" s3 p; m: W5 X4 _; e8 O( q9 n7 V& k3 ^
　　在没有安装金山毒霸恶意驱动前，带360字样的程序均可以正常打开。

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200026047.jpg
. U- F$ l! t( \　　安装金山毒霸恶意驱动

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200047092.jpg
　　带360字样的程序都无法打开了。
- _! o% f% o3 z% H  W5 S
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200103011.jpg
　　甚至有大量测试用户反馈，毒霸恶意驱动甚至会导致用户电脑蓝屏和无限重启。
$ V/ J& f" b7 Y  c& f- w. R
9 L; f4 W* |2 L/ A　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920012102.jpg
; N! N4 X# m4 E8 O* Q) l- |5 F
/ f, B7 Z7 d# C; N+ d+ W　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200138028.jpg
' E# ]! B- w* h, |7 _1 `
4 k- H6 ?+ @; Z+ d　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200157055.jpg
8 E4 J) d) G' f2 O! `4 \
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200216019.jpg

　　据技术型网友分析：
　　DiggerPlus：#金山毒霸植入恶意驱动# 做一个技术性验证，结果：1. @360安全卫士此次提供的sys文件样本数字签名确实为金山 2.将该sys驱动简单逆向一下就能分析出该sys的行为，该sys文件回调函数直接判断进程名中是否包含"360"字样，因此，只要包含"360"都会被干掉。另科普:PsSetCreateProcessNotifyRoutine是向系统注册一个回调函数，当系统中有进程创建的时候就会调用这个函数，而这里的回调函数中检测了"360"字样。
& K/ A# L1 t6 O2 ^  [" f: ~
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200234058.jpg
, ]! i4 k8 F" L# C4 ^
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200251048.jpg
  P3 O0 v3 Q# J. B( |3 F
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200310092.jpg