万名网友验证金山毒霸恶意驱动 可导致电脑蓝屏

直至终结

　　上周，金山毒霸植入恶意驱动，针对360程序与及带360字样的程序进行暗中拦截，甚至会导致用户电脑蓝屏。目前针对“金山毒霸植入恶意驱动”的活动测试人数已经超过十二万。

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920000002.jpg

　　下面内容来自网友的验证结果：

) R$ O( ]3 h1 M0 @  {　　在没有安装金山毒霸恶意驱动前，带360字样的程序均可以正常打开。

6 g, v( H/ `7 a! Q' |( M　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200026047.jpg
　　安装金山毒霸恶意驱动
* V& K& j/ D* i
5 I& W" M& F! C5 E& M　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200047092.jpg
& b: v1 _" W- \' X　　带360字样的程序都无法打开了。
' v2 z; m. u1 n" U7 }: N% ^8 ^
- C, k$ ?7 q' X. q" [　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200103011.jpg
　　甚至有大量测试用户反馈，毒霸恶意驱动甚至会导致用户电脑蓝屏和无限重启。
/ R# e) G. A' J) A
! y4 f* |# t2 D" y　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920012102.jpg
; N+ B# G0 d& a8 k2 I& T
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200138028.jpg
/ N- q# A4 N; F
- [8 h+ T6 t* f) b3 L+ u  G6 Q8 h　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200157055.jpg
2 r, L; i. E6 }! P
+ p/ t* ^. Z. r9 m　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200216019.jpg
; v+ W7 Q0 E# v9 H* B, b6 \
8 \' u  h4 _4 n) T/ t　　据技术型网友分析：
　　DiggerPlus：#金山毒霸植入恶意驱动# 做一个技术性验证，结果：1. @360安全卫士此次提供的sys文件样本数字签名确实为金山 2.将该sys驱动简单逆向一下就能分析出该sys的行为，该sys文件回调函数直接判断进程名中是否包含"360"字样，因此，只要包含"360"都会被干掉。另科普:PsSetCreateProcessNotifyRoutine是向系统注册一个回调函数，当系统中有进程创建的时候就会调用这个函数，而这里的回调函数中检测了"360"字样。

0 o' `8 S6 f; \6 z+ w- x5 J1 ^9 e　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200234058.jpg

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200251048.jpg
; S- H$ ?& p4 q8 V
$ J$ i3 V! H, R2 m. \8 ~+ d$ I9 x　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200310092.jpg