万名网友验证金山毒霸恶意驱动 可导致电脑蓝屏

直至终结

　　上周，金山毒霸植入恶意驱动，针对360程序与及带360字样的程序进行暗中拦截，甚至会导致用户电脑蓝屏。目前针对“金山毒霸植入恶意驱动”的活动测试人数已经超过十二万。
8 _" z7 {  f+ \9 X" V$ K+ s$ h
: q! h# G8 g( \　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920000002.jpg

8 |! r& B; j) {; i5 V* v5 K0 A* A　　下面内容来自网友的验证结果：
# n4 B6 E6 `# H! D# J
3 j3 F# o  Z3 i$ ?# _　　在没有安装金山毒霸恶意驱动前，带360字样的程序均可以正常打开。
3 V) A" O$ r* {; I/ r
9 F2 Y! V+ H4 I9 ?# K　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200026047.jpg
* z8 l6 g3 ~- y4 U' s　　安装金山毒霸恶意驱动

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200047092.jpg
　　带360字样的程序都无法打开了。
' h4 _* s2 j  S- `% I
/ f6 ~% a. C) p　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200103011.jpg
　　甚至有大量测试用户反馈，毒霸恶意驱动甚至会导致用户电脑蓝屏和无限重启。
9 l6 ^0 z) ^% n( o
* }7 i* [5 J; a4 g7 U  h: A　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920012102.jpg
, \# h+ {( @: S5 z- X9 A% U
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200138028.jpg

8 q1 \" x4 M3 c1 ~6 Y) |2 O　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200157055.jpg

. D+ B" U3 O6 m7 E: q/ V2 V　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200216019.jpg

　　据技术型网友分析：
% I. W/ P; ~. ]　　DiggerPlus：#金山毒霸植入恶意驱动# 做一个技术性验证，结果：1. @360安全卫士此次提供的sys文件样本数字签名确实为金山 2.将该sys驱动简单逆向一下就能分析出该sys的行为，该sys文件回调函数直接判断进程名中是否包含"360"字样，因此，只要包含"360"都会被干掉。另科普:PsSetCreateProcessNotifyRoutine是向系统注册一个回调函数，当系统中有进程创建的时候就会调用这个函数，而这里的回调函数中检测了"360"字样。

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200234058.jpg
& E* J- t* P% [& u9 @
8 [7 m2 \9 ~' }. V$ e( `- M　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200251048.jpg
/ o1 x7 G3 ^. f1 r9 p
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200310092.jpg