万名网友验证金山毒霸恶意驱动 可导致电脑蓝屏

直至终结

　　上周，金山毒霸植入恶意驱动，针对360程序与及带360字样的程序进行暗中拦截，甚至会导致用户电脑蓝屏。目前针对“金山毒霸植入恶意驱动”的活动测试人数已经超过十二万。
: t! S; ?& Z: ^; `( V/ @
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920000002.jpg
  @5 d4 z6 ]$ K
　　下面内容来自网友的验证结果：

　　在没有安装金山毒霸恶意驱动前，带360字样的程序均可以正常打开。

" n0 k; E( e) F* y　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200026047.jpg
. ~3 c3 t* l# \! k" S: Y% [! o　　安装金山毒霸恶意驱动
! u: Q1 D: J( e$ F
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200047092.jpg
# E* z7 j, e4 ?# ?: S　　带360字样的程序都无法打开了。

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200103011.jpg
　　甚至有大量测试用户反馈，毒霸恶意驱动甚至会导致用户电脑蓝屏和无限重启。
1 W7 H4 H: n, D! Z# C
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/538802992014021920012102.jpg
; z6 x9 `  m7 e: M5 B  P
, [9 L& I5 z# F9 s. O, M1 b　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200138028.jpg
: e. i0 H# |: T( x: c3 D/ q$ I
　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200157055.jpg

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200216019.jpg
# {0 G- m' L/ I" @8 f1 D" ]0 a
: S- ~6 a/ C9 C6 N6 L4 X　　据技术型网友分析：
& Y/ V9 _1 y) Q2 \" @  w　　DiggerPlus：#金山毒霸植入恶意驱动# 做一个技术性验证，结果：1. @360安全卫士此次提供的sys文件样本数字签名确实为金山 2.将该sys驱动简单逆向一下就能分析出该sys的行为，该sys文件回调函数直接判断进程名中是否包含"360"字样，因此，只要包含"360"都会被干掉。另科普:PsSetCreateProcessNotifyRoutine是向系统注册一个回调函数，当系统中有进程创建的时候就会调用这个函数，而这里的回调函数中检测了"360"字样。

0 O$ l1 z' l) M6 `; @5 p　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200234058.jpg

　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200251048.jpg

4 I3 l) Q$ H) W　　http://img226.poco.cn/mypoco/myphoto/20140219/20/5388029920140219200310092.jpg