万名网友验证金山毒霸恶意驱动 可导致电脑蓝屏

直至终结

　　上周，金山毒霸植入恶意驱动，针对360程序与及带360字样的程序进行暗中拦截，甚至会导致用户电脑蓝屏。目前针对“金山毒霸植入恶意驱动”的活动测试人数已经超过十二万。
7 Y# g- _/ ^' X6 _- q
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920000002.jpg

( E' g! r. d1 T' l5 q2 [4 L3 P　　下面内容来自网友的验证结果：

　　在没有安装金山毒霸恶意驱动前，带360字样的程序均可以正常打开。
- a: f  @, m4 P3 R4 c
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200026047.jpg
　　安装金山毒霸恶意驱动
  C9 l8 O0 u7 n1 _0 L# J
% J+ A+ n* N1 w  @" n; i　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200047092.jpg
　　带360字样的程序都无法打开了。

: U: l' M* c3 f* B　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200103011.jpg
　　甚至有大量测试用户反馈，毒霸恶意驱动甚至会导致用户电脑蓝屏和无限重启。
! B. r1 z. y5 q* S+ N3 ]
" A0 v6 l; P- Y2 S" M6 k# d) s7 w　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920012102.jpg

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200138028.jpg

1 S% K0 j  m( c7 G" P　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200157055.jpg

0 M* r7 ]* m, B* @# s7 W; m9 d　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200216019.jpg
  k& B( S4 ^  x0 z; a
! ?6 ]* V% ]( g1 A( w7 a# ]7 g　　据技术型网友分析：
8 Z( s+ D0 g5 j" R$ K　　DiggerPlus：#金山毒霸植入恶意驱动# 做一个技术性验证，结果：1. @360安全卫士此次提供的sys文件样本数字签名确实为金山 2.将该sys驱动简单逆向一下就能分析出该sys的行为，该sys文件回调函数直接判断进程名中是否包含"360"字样，因此，只要包含"360"都会被干掉。另科普:PsSetCreateProcessNotifyRoutine是向系统注册一个回调函数，当系统中有进程创建的时候就会调用这个函数，而这里的回调函数中检测了"360"字样。
! L( H0 w2 p( @. h
, ?$ S. ^# {* \, A# J, ^* n% {9 J! p　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200234058.jpg
, C! a6 \" I% N2 Y$ ]+ ]
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200251048.jpg
$ {- a5 m% q9 {1 K; P8 g
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200310092.jpg