这两天“磁碟机”病毒闹得很凶很猖狂，弄得我这两天上网也是小心翼翼的。今天360弹出了一个气泡说我中了“磁碟机”病毒，需要下载专杀工具，打开360就看到了让我下载磁碟机专杀的提示。



它奶奶的！ 还是中招了，二话不说赶紧下载专杀吧。下完安装时卡巴斯基主动防御拦了几下，出于信任360的原因也就一路允许下去，结果不一会硬盘灯长明电脑变的很慢，然后弹出一堆错误信息的对话框。
感觉事情不对后，我按了Ctrl+Alt+Del希望打开任务管理器，结果我发现任务管理器的按钮是灰的，连关机按钮都没有了。这时我还以为是“磁碟机”造成的问题。
没办法机器太慢，硬重启进安全模式 。安全模式居然还能进，用360看了一下，发现注册表启动项里多了一个myexe的项值为D:\ Deity.exe。桌面和几个分区根目录下都有名为Killme的Bat文件，里面的内容只有一句话“赞美女神，女神的容光将照耀世界”。
用同事的机器上网一搜，发现这不是磁碟机，而是伪装成磁碟机专杀工具的一个病毒文件，中了这个病毒只需要在安全模式下， 删除其注册表启动项，然后删除分区根目录下的Deity.exe文件即可。另外由于它屏蔽了 任务管理器、 关机按钮、及桌面右键、另外释放盗号木马，使用360即可彻底查杀恢复。



查杀完后我就研究是怎么中招的，磁碟机专杀我是从360官方下载的啊，难道360被黑了不成？进迅雷仔细看了看这个所谓专杀的下载地址：
http://www.ntyz.org/sysmanage/ne ... 008225193156334.exe
不是在360的网站上啊，难道是360的合作伙伴。www.ntyz.org这个网站也不像啊，这样一来，不会是我中了木马修改了360的警告消息先骗取我们信任，再利用我们的麻痹心里安装木马文件吧。
我打开了360的安装目录，在我机器上是D:\Program Files\360safe。随便找了个Dat文件删除，居然就成功了，以前还真没想到用了这么久的360竟然没有自我保护功能。
在360safe文件夹下发现了2个ini，打开Links.ini一看一切豁然开朗。
Links.ini里面开头的配置是
[LINK0]
text0=您的机器已经感染“磁碟机”病毒请立即下载
blink0=false
[LINK1]
text0=360磁碟机病毒专杀工具！
blink0=false
space0=30
url1=http://www.ntyz.org/sysmanage/news/UploadFiles/2008225193156334.exe
text1=立即下载
我的360在界面上显示为：



而这个配置是可以随意修改的，如果我们把text0的值改为“100元出售灰鸽子”



看360安全卫士买灰鸽子了吧。由于360的配置文件没有加密再加上对自身没有任何保护，很容易被恶意软件利用实现欺骗 。
360这个位置原来的内容是买卡巴斯基的。



如果木马修改配置文件进行钓鱼攻击，制造一个假的在线支付网站，然后攻击者再真准备一些盗版免费能用的卡巴Key文件完成交易，如果真的是这样的话，用户花钱买了假正版，还神不知鬼不觉的。
我上百度搜了一下“正版卡巴被封”有19,500 多篇。都说卡巴封正版Key， 这里面会不会有一些人是从360软件上被钓鱼购买了假正版？
黑客已经开始利用这种符合型的钓鱼攻击了。我们常用软件中的提示信息我们通常是比较信任的， 黑客直接修改软件中的提示信息的做法比Web钓鱼更具欺骗性。我们不得不警惕。
给大伙几个建议。
一． 不要轻易相信软件的提示信息，消息需进行多方确认。
不要轻易相信360安全卫士的任何提示信息包括气泡、里面的文字内容等，面对此类信息一定要多方确认。如果在线购买卡巴斯基最好直接到卡巴斯基官方网站购买（看准网址www.kaspersky.com.cn）。
二． 暂时不用程序的程序，最好彻底关闭
尽量不要让没用的程序跑到右下角去，因为让它们呆在哪里的话，它们不是弹气泡信息，就是搞一些损用户利己的事情。如迅雷待在右下角时就会共享用户的部分文件，偷偷的上传文件，占我们的带宽。360安全卫士的实时监控与卡巴斯基的功能完全重复，除了占系统资源外就是一鸡肋。这些程序还有一共同特点，就是一到右下角就要弹气泡，容易被黑客用来欺骗。所以使用这些功能性的程序最好使用时再打开，使用后尽量完全关闭，减小安全风险和资源占用。
三． 浏览器换到IE7.0或Fire-fox2.0，打开反钓鱼功能
现在的钓鱼攻击越来越多，并且走复合发展的路线。在美国2007钓鱼攻击造成的损失大约是32亿美元，在电子交易日渐发达的今天我们更要提到警惕。
下图是一个冒充卡巴的钓鱼网站





[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Maxthon; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

太拿360当回事了，这下算是知道360到底是干么吃的了...根本不能和杀毒软件相提并论。

骗子我给你看
[LINK0]
text0=卡巴斯基反病毒2009正版激活码限量热销！360安全卫士新老用户
blink0=false
[LINK1]
text0=特惠升级价25元/半年,每月仅需4元！
blink0=false
space0=30
url1=http://kaba.360.cn/index.html?a=6020
text1=立即抢购

[NEWLINK0]
text0=卡巴斯基反病毒2009正版激活码限量热销！
blink0=false
[NEWLINK1]
text0=360安全卫士新老用户特惠升级价25元/半年,
blink0=false
[NEWLINK2]
text0=每月仅需4元！
space0=80
blink0=false
url1=http://kaba.360.cn/index.html?a=6020
text1=立即抢购

[links]
lname=links.dll
lver=1.0.1.1002
url=http://dl.360safe.com/linksdll.cab


[bknews]
u0=http://baike.360.cn/recommend/3451604/11357394.html
t0=微软发布9月安全公告,请立即更新
u1=http://baike.360.cn/3451604/6297992.html
t1=微软发布windows XP SP3
u2=http://baike.360.cn/3451604/7854772.html
t2=kb951748补丁问题解决
u3=http://baike.360.cn/3451604/5796736.html
t3=系统漏洞补丁安装失败原因


[slnews]
u0=http://baike.360.cn/3229787/3070993.html?page=1#layer_1
t0=什么是com组件
u1=http://baike.360.cn/3229787/3070993.html?page=1#layer_2
t1=禁用com组件为什么能够阻止木马入侵
u2=http://baike.360.cn/3229787/3070993.html?page=1#layer_3
t2=禁用com组件可能导致的问题
u3=http://baike.360.cn/3229787/3070993.html?page=1#layer_4
t3=如何重新开启com组件


[slnews2]
u0=http://baike.360.cn/3451604/9389414.html
t0=微软发布8月安全公告,请立即更新
u1=http://baike.360.cn/4012610/7873082.html
t1=office access 0day漏洞,请尽快修复
u2=http://baike.360.cn/4012610/3982677.html
t2=关于flash安装失败的解决办法
u3=http://baike.360.cn/3451604/6297992.html
t3=微软发布windows XP SP3


[prtnews]
u0= http://baike.360.cn/4005462/9391490.html
t0=【本周木马播报】警惕！奥运期间需重点提防木马钻空
u1=http://baike.360.cn/4005462/8580015.html
t1=警惕！U盘病毒新变种，骗用户主动点击
u2=http://baike.360.cn/4077772/8410348.html
t2=【360杀毒公测】有奖捉虫活动全面引爆！每日开奖 惊喜不断
u3=http://baike.360.cn/4005462/7919368.html
t3=office漏洞惊现，360安全卫士独家提供修复方案


[spyer]
commend=2
button1=立即使用完全木马库扫描
button2=不使用，直接扫描
desc=强力推荐您下载360完全木马库，能够更全面检测系统隐藏木马
items=360完全木马库具有以下特点：
item1=·检测全面，彻底检测出系统各类木马
item2=·更新及时，追踪查杀当前最流行木马
item3=·使用方便，仅在执行木马扫描操作前等待数秒更新即可

[sysleak]
rate=10

[bknews2]
url=http://baike.360.cn/recommend/3451604/8423947.htm

360被人下黑手了
这貌似不是最近的事情。

呵呵
考古

真是很好很强大

叔,想死了~~~~



PS下,这帖子都3月的了,还出来?