MY123流氓软件四种清除方法

引言：写在最前面

MY123创造了很多流氓软件的第一，有望争夺流氓软件的“最流氓软件宝座”：

1、驱动保护(System Bus Extend驱动，安全模式下也加载)

2、随机文件名，DLL和SYS

3、多线程保护，网络自动升级

4、极强的自动恢复(即使在所有文件被删除的情况下，仍然可以通过内存恢复!)

5、驱动文件独占方式，其它任何程序也无法读写及删除

6、有预谋定时爆发(2006/11/11)

一、MY123的前世今生

风雨送飘(飘雪piaoxue)归,飞雪(fiexue)迎春到。才别傲讯(allxun)网，又见一二三(MY123)。

短短一个多月时间，这些锁主页的流氓软件已经让上千万的网民明白了什么叫做强盗，什么叫做无耻，什么叫做疯狂。9号的时候就已经听人放言10号以后会有一个流氓会大规模爆发。果然，在2006/11/11号这个光棍节的时候,MY123如期而至。现在看来，原因在于这个流氓软件已经早就潜伏于用户的电脑中，通过和多个其它流氓软件的捆绑以及其它的渠道，已经潜入成百上千万的网民电脑中，平常也是启动的，但判断日期小于11/11号，就潜伏不动，一旦系统时间大于11号，就开始修改用户主页。而选择这个特殊时间，选择在周未的时候，显然也是别有用心，可以利用反病毒厂商假期的时候反应不及时而大规模爆发。

从规模及爆发面积来看，全国各地可能有数百万甚至上千万用户被该流氓恶意修改了主页，这和之前爆发的大面积piaoxue.com,feixue.net,73ss.com,9505.com,81915.com,4199.com等恶意修改用户主页，十分相似。同以往的一些“老流氓”相比，这些新流氓的特征是爆发面积特别大，效果明显，目的明确单一(修改主页)，手段新奇狠毒，叹为观止。

显然这是一场预谋已久的活动，并且短短几天内，这个驱动病毒至少已经有三个不同的版本，造成一些专杀工具失效。这个MY123已经具备所有病毒的特征，希望总有一天法律能将这种无良的作者绳之以法。

二、剖析流氓手段

这个驱动经过层层改进，家庭发扬得很光大，看看：

1、飘雪(piaoxue)

2、飞雪(feixue)

3、QQHelper

4、allxun.com傲讯

5、My123(7255)

最早的MY123只有一个驱动，已经有多个专杀工具可以杀。后来又出现版本2，即多一个同名的.dll位于system32目录下，现在的版本3，是一个非同名的.dll位于system32目录下。今天主要分析一下我手头拿到的这个版本3。

1、程序安装

首先是释放一个.dll到system32目录下，文件名的特征是随机的8位字母(也有版本是6位字母加2位数字)，然后调用rundll32.exe wceiukte,DllUnregisterServer来注册COM组件，接下来调用Rundll32.exe wceiukte.dll,DllCanUnloadNow来运行程序，并且注册WH_CALLWNDPROC这个系统挂钩。

DLL分别注入SYSTEM和EXPLORER进程空间，进行保护，如果检测没有驱动，则会自动释放出驱动，然后加载。同时这个DLL具有网络下载升级功能。

这个dll运行后，会生成一个.sys文件，放到drivers系统目录下。DLL通过一个算法得到SYS文件名，算法是：

DLL的文件名

ascii码+32143289052890852-32143289052890848-34320958+34320955就就是SYS文件名

也就是ascii + 1

即.dll的文件名为：wceiukte.dll那么.sys文件名就为：xdfjvluf.sys

2、注册和加载驱动

会在注册表的HKLM\SYSTEM\CurrentControlSet\Services\下写下同驱动名的一个值，把自己注册为System Bus Extend的驱动，使得它的优先级很高，即使在安全模式下加载，也使得很多想清除它的软件无效。然后通过services来加载驱动，驱动加载后，生成三个线程附加到system这个系统核心进程上，(以前的驱动是两个线程)获取最高权限。通过Process Explorer可以查看到这三个线程：