又一场腥风血雨啊!
大概是晚上6、7点钟吧,本来想备份点东西,发现360云盘打不开。刚开始以为是软件bug,也没当回事,就想上网页版。没想到连360浏览器也阵亡了,双击快捷方式没有反应。直觉告诉我,一定是粗大事了。
赶紧打开主防日志查,发现金山毒霸下午自动装了一个驱动,看起来用的是随机文件名(我这里是ts2z9pfwwe.sys),明显有猫腻。
把这个驱动拎出来,简单分析了下,结果惊呆了。。
它基本就干一件事:向系统注册进程创建回调(Process Create Notification),判断正在启动的进程名称是否包含“360”。如果包含360,直接结束进程;如果不包含,那什么事也不做。
也就是说,如果你电脑金山毒霸已经更新了这个驱动,所有带360字样的程序都无法打开了,而且还没提示。死都不知道是怎么死的。
更搞笑的是,把猎豹浏览器主程序改名成360se.exe,一样打不开。。
附样本测试地址:http://yunpan.cn/Qpen7UxQSpjdG (包含1. kingsoft.reg,2.驱动加载工具instdrv,3.金山驱动。再想想,病毒也可以随便加载这个驱动,带金山签名哦,细思恐极~)
步骤: 导入kingsoft.reg, 打开驱动加载工具instdrv, 把金山的这个驱动拖拽到instdrv的界面上,点击“安装”后, 点击“启动”,好了,这个时候再运行任何带有360名字的程序都运行不了了。可以试试看把liebao.exe改为360liebao.exe,也运行不了。好玩了~
关键代码:
在进程创建回调中,判断进程名是否包含360。如果包含就结束进程。
<ignore_js_op>