感觉金山的版主【volunteer】很搞笑

璇玑

近期在各个大论坛中，有一个名为“面对盗号木马肆虐，杀毒厂商应该同仇敌恺，还是同室操戈”的帖子，广为流传，感觉很搞笑，一看都是金山的版主【volunteer】所发，觉得很奇怪，也很搞笑，金山的版主也做这种掩耳盗铃的事情。一向觉得金山的人很低调，现在觉得很奇怪最近的表现。
volunteer在卡饭中的同一个帖子：

volunteer在深度中的同一个帖子：

volunteer 在中天中同一个帖子：

volunteer在剑盟中同一个帖子：



   觉得很搞笑，有意思吗》volunteer金山版主？自己人自己事情都没有弄清楚！

璇玑

为什么铁军测试时微点不能防住，原因我发现了大家注意看铁军桌面上的微点安装包，从最前的文件名可以发现微点是08年1月3号发布的测试版，而在那时微点只有预升级版才可以防御，测试版还没有升级，不能防，所以这个问题就此打住

璇玑

看volunteer在卡饭中的帖子http://bbs.kafan.cn/viewthread.php?tid=221192&extra=page%3D1


微点VS磁碟机”的几个故意，值得揣摩
各位网友大家好，转载请注明。
****************************************************************************************************
最近流传出一个针对微点的文章：《面对盗号木马肆虐，杀毒厂商应该同仇敌恺，还是同室操戈》，传说是金山铁军的手笔。此文引出一个话题：“微点VS磁碟机”。关于这篇文章的内容，此处不再详述。
此文章写得非常偏激，在下拜读多遍以后，找出数个蹊跷之处，而大多数是该作者有意为之。
第一个故意：故意隐匿测试视频中的微点版本。
用过微点的人都知道，只要把鼠标放在托盘上的微点图标，就会显示微点版本，而此文提供的视频中，却生怕暴露微点版本。
这就有很多文章好做了。
微点比较老的版本，是对付不了磁碟机的，就如同WINDOWS3.1无法玩魔兽世界这类大型3D游戏一样。
微点的图标3年没变，谁知道他用的是哪年的版本测试的，此故意行为，可做为一大疑点。
第二个故意：故意伪装，藏匿样本
视频中测试的样本是个叫“金山词霸2007.EXE”的东东，这是磁碟机么？
以下内容属于逻辑猜想：
他不敢公布样本是为什么？我来分析一下可能性：
1.样本本身就不是磁碟机，是挂羊头卖狗肉的货色，一公布即露馅。
这个所谓的磁碟机样本，可能是故意专门针对微点写的什么BAT,VBS脚本。说实话，微点对于脚本的预防能力真不怎么样。
就在前不久，某位仁兄就放出一个过微点的VBS，修改它的源代码，转化为EXE，再改成“金山词霸2007”的图标，一个“过微点磁碟机”就新鲜出炉了。
2.样本是磁碟机，但是只能过版本很老的微点，一旦公布立刻会有很多人发现“我的微点怎么没过！”“微点杀了”。同样一公布即露馅。
3.样本是磁碟机，还能过新版微点。
我有了对付你们微点的秘密武器，你想要？过来给大爷我磕仨响头，再交点保护费，否则没门！呵呵，这就和流氓无异了。
现在各大论坛公开的磁碟机样本，还没有发现哪个能过微点最新版的，没有样本，这一事件可就成疑案了，毕竟只有样本才能作为有力的证据。人证可能说谎，物证是说不了慌的。
第三个故意：玩弄文字，故意误导看客。
此文是针对关于磁碟机的新闻稿而写，采访的都是刘旭这一个人，但是记者却不只一位，所以相关新闻稿就有了两个版本：新华社版，搜狐IT版。
自从有了搜索引擎，想找什么资料就是方便。
先搜新华社版，关键词：病毒暴发 引真假主动防御杀毒软件走向分水岭
GOOGLE搜索到35个，并提示：为了提供最相关的结果，我们省略了与已显示的 36 个类似的条目。
再搜索搜狐IT版，关键词：新"毒王"诞生 专家称"专杀工具"治标难治本
GOOGLE搜索到5个，其中搜狐网2个，一个是正文，一个是标题汇总页面，百度百度新闻搜索2个，也就是网页快照，剩下一个是人民网转载的，通过其他的关键词，又找到一个浙江新闻中心的转载。如果去除网页快照和标题汇总，只剩下3个有效页面。
同一个记者座谈会，刘旭说出的同一句话，不同的记者写出来的稿件，我们更应该相信谁？
新华社：老牌媒体，政府机构，以严谨求实为特点。
搜狐网：网络媒体，私营机构，以新颖奇趣为卖点。
哪个更原汁原味，不用我多说了吧？
新华社版
刘旭认为，能否应对“磁碟机”类的计算机病毒，也成为区分真假主动防御技术杀毒软件的一个“分水岭”。由于“磁碟机”病毒还在不停地变种，与杀毒软件一样，专杀工具无法查杀最新版的“磁碟机”病毒。而采用独有的主动防御技术的微点主动防御软件， 成为目前防御“磁碟机”病毒的最有效工具。
搜狐IT版
刘旭同时介绍，微点主动防御软件采取独有的主动防御技术，不依赖于病毒的特征值，就可有效防御 “磁碟机”病毒的变种， 是目前国际上防御“磁碟机”病毒的最有效工具
再看《面对盗号木马肆虐，杀毒厂商应该同仇敌恺，还是同室操戈》一文，引用的是谁的？新华社的么？NO,NO,NO,是加了料的搜狐IT版。
为什么舍弃广泛传播，真实可信的新华社版，而是引用鲜为人知的搜狐IT版呢？因为搜狐IT版多了”国际上”三个字，喝，你微点真能吹啊！敢把自己吹成国际的了，开什么国际玩笑！
仅仅多了这三个字，刘旭的态度可就大不一样了，搜狐IT版比新华社版更有文章可做。
第四个故意：故意提到X星、金山，搅浑这滩水。 引用:

看来微点没忘了×星是怎样搞自己的，在即将出狱的前夜先拿金山小试一刀。

还是搜狐IT版新闻稿， 引用:

搜狐IT就此问题采访了反病毒专家刘旭，他认为，为了对付“磁碟机”病毒，杀毒软件公司纷纷赶制出“磁碟机”病毒专杀工具。但是，这种专杀工具治标不治本，它只是在“磁碟机”病毒已经感染并造成破坏后，所采取的补救措施。由于“磁碟机”病毒还在不停的变种，与杀毒软件一样，专杀工具也无法查杀最新版的“磁碟机”病毒。对用户而言，最为重要是能做到主动防御。

整段找不到一个“金”字，一个“山”字，何来拿金山小试一刀一说？难道杀毒软件公司就只有金山一家？你能代表金山说这话么？如果能，你金山也太狂妄自大了吧！
再说了，这和X星有一毛钱关系么？把X星拉进来搅浑这滩水有意思么？
你这么做有什么意思？难道承认金山就是靠“治标不治本”的专杀工具过活？刘旭的话踩到你的痛脚，踩到你尾巴了？至于叫的如此之响么！
刘旭的话没看到有“拿金山小试一刀”的内容，反倒是此人的文章中处处想要“拿微点试一刀”，此人的用心险恶可想而知。
《面对盗号木马肆虐，杀毒厂商应该同仇敌恺，还是同室操戈》一文，整篇文章漏洞频出，唯一可以当作论据的视频，其真实性还有待验证。
视频这东西通过剪辑等手段，是最容易作假的！不信，你看看电视直销的那些减肥药，美容用品和手机就知道了。在电视上，看上去真实无比，买回家却往往后悔上当。如果视频做不了假，就没有现在的影视艺术！视频不做假，拍部战争片要死多少人？不做假，科幻、魔幻片里的东西，现实中都存在么？
仅仅拿一个视频当证据，简直太可笑了，你是故作高明呢？还是想欺负别人没见识呢？
奉劝某人，不要把别人都当作傻子，别总以为自己太聪明！下次再写文章，别再如此文一般经不起推敲，免得丢人现眼！

璇玑

关于铁军“微点VS磁碟机”的疑问刚刚看到了铁军测试微点的帖子，我很仔细的看了下录像。结果让我看到了一个很震惊的事实：

铁军用来测试磁碟机的微点版本有问题！大家可以仔细看看录像，桌面的版本是mp.0801 08年1月？？1月的时候磁碟机好像还没被截获吧？

我只想说明：

1.微点宣称可以杀“新病毒”的定义是微点可以杀掉基于“特征码免杀”处理过的病毒，也就是说，病毒行为没有大的改变。

2.铁军的测试录像没有展示微点版本，无非是两种情况：

a.忘记了这一点，没注意用新的版本测试。

b.基于某种目的故意使用老版本测试。

我觉得对这件事最有说服力的做法就是请铁军公开你的病毒样本，让大家自己去测试。故意沉默恐怕会惹人非议。

璇玑

微点＆金山2008-03-22 02:09

原文：http://bbs.duba.net/viewthread.php?tid=21898780&extra=&page=13 看过铁军那篇“窝里斗”的文章虽然有许多不解，不过先说明几个前提吧 主动防御的概念无非是凡是动彻先机、敌不动我不动，完全通过程序行为判断是否为具有危害性的程序，至于“秀剑”所说的运行病毒后在启动微点已经偏离了主动防御的概念 杀毒软件的概念则不同，在我的个人愚见方面则是通过内存特征、广谱特征对文件进行监视并筛选，得出的结果只有０和１，是０直接放过、１则跳到杀毒引擎上面处理。 从以上两点完全可以看到这两种程序没有可比性，因为是两个不同概念的衍生物，所以一堆人在这里争执哪个好哪个坏却没有一个最终点、没有一个好坏的依据、对付磁碟机什么叫做好又什么叫做坏呢？ 两个出发点： 一、不被感染：通过有效识别系统调用发现磁碟机的行为并有效的阻止，使得用户系统不会被恶意代码感染，对于病毒主线程已经被结束，那么一切都会变得很安静。 二、修复感染：当用户系统已经被恶意代码感染的时候，既要通过杀毒软件的清除引擎对其进行特征匹配、如果匹配的是病毒原特征，那么就直接删除；如果是包含病毒特征，那么就根据特征版本号调用相关算法在内存中将染毒文件进行清除，映射出被清除文件到原位置。 通过以上驳“微点占用资源高的问题” 如图：被选中的是微点的主进程程序，资源问题的指标都显示在里面了。 rrr.png (32.72 KB) 2008-3-22 04:03 微点主动防御软件没有扫描引擎，所以不会把大量文件同时读入自身内存，然后进行特征、广谱识别，而只是在其他进程插入特定线程进行程序识别了，试比一下究竟是对其他进行插入一个线程占用资源高还是将大量文件读入自身内存占用资源高？所以这个根本没有可比性，因为机制不一样。 驳“中毒后无法进行处理的问题” 首先附上微点对磁碟机的病毒分析报告： 复制内容到剪贴板 代码:病毒名称 Virus.Win32.Xorer.aex 捕获时间 2008-03-20 病毒症状 　　该程序是使用VC编写的病毒程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描，加壳后长度为94,208字节，图标为Windows默认可执行文件图标，病毒扩展名为exe，主要通过网页木马、文件感染、移动存储介质方式传播。 病毒分析 动作一： 该样本程序被执行后,查找窗口名或类名为如下字符的窗口，试图通过API函数GetWindowThreadProcessId、OpenProcess、TerminateProcess将其关闭，同时发送大量的垃圾消息，造成含有如下窗口的进程无法处理消息自行退出；创建名为“cdocuments and settingsadministrator桌面setupsetupexe”的互斥体，防止系统中有多个病毒进程在运行。    Quote: 免疫 江民 杀毒 病毒 Avast TtabSheet 进程管理 TpageControl Copylock TsuiForm 版 墙 云 防 Frame 狙剑 微点 AfxControlBar42s Tapplication 费尔 Antivir ThunderRT6Timer thunderrt6formdc 升级 木 thunderrt6main eset mcafee afx: arp avg facelesswndproc bitdefender ewido 具诊 #32770 Monitor Onit Afet Yst mcagent.escan firewall dr.web metapad mozillauiwindowclass cabinetwclass ieframe diskgen dummycom xorer 磁碟机 pagefile.pif smss.exe lsass.exe 360安全 修改如下注册表键值隐藏病毒文件使其不能被显示出来、开启Windows自动播放功能利用其传播病毒。    Quote: 项：HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\Advanced\ 键值：ShowSuperHidden 指向数据：00 项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ 键值：NoDriveTypeAutoRun 指向变量：95 删除如下注册表项实现突破映像劫持、组策略的免疫方式：    Quote: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects" 删除安全模式对应的键值使用户不能通过安全模式删除病毒文件和修复系统：    Quote: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} 通过API函数GetSystemDirectoryA、GetUserNameA获取系统目录与当前用户名，调用Cacls .exe为系统目录下com子目录赋予当前用户的完全控制权限，如果存在与病毒名相同的文件或文件夹则删除；在目录C:\下释放驱动文件NetApi000.sys，修改文件属性为隐藏和系统；添加SeDebugPrivilege特权令牌，获取调试权限，使得任务管理器无法将其结束；调用SCM写注册表项将NetApi000.sys注册成名为NetApi000的服务，通过相关函数启动被注册的服务加载驱动，加载成功后使用API函数DeleteService将服务NetApi000删除，通过驱动恢复系统分发表将所有系统服务重置，从而使多种病毒监控程序失效；    Quote: 项：HKLM\SYSTEM\CurrentControlSet\Services\NetApi000\ 键值：DisplayName 指向数据：NetApi000 项：HKLM\SYSTEM\CurrentControlSet\Services\ NetApi000\ 键值：ImagePath 指向文件：\??\C:\NetApi000.sys 项：HKLM\SYSTEM\CurrentControlSet\Services\ NetApi000\ 键值：Start 指向数据：03 遍历有如下字符串的进程将其关闭：    Quote: Kmailmon Guard Scan Kissvc Watch Kv Twister Avp rav 调用API函数SHDeleteKeyA将如下服务删除；拷贝自身到%ALLUSERSPROFILE%\「开始」菜单\程序\启动目录下，重命名为~.exe.*******.exe；添加SeShutdownPrivilege特权令牌，获取关机权限，使用API函数ExitWindowsEx强制关机重启。    Quote: MPSVCService AntiVirService AVP KWatchSvc Ekrn SymEvent PAVSRV Tmmbd McShield RsRavMon EQService KSysMon 动作二： ~.exe.*******.exe运行后，创建名为“cdocuments and settingsall userswinnt「开始」菜单程序启动~exe3706156exe ”的互斥体，防止系统中有多个病毒进程在运行；删除注册表自启动项以使系统中安全软件不能一起随系统启动；将自身拷贝到%systemroot%\system32\com目录下，重命名为lsass.exe；通过API函数CreateProcessA运行lsass.exe。之后执行自删除操作，当系统注销时再次将lsass.exe的拷贝复制到启动目录下，实现下次病毒自启动。 动作三： %systemroot%\system32\com\lsass.exe运行后，创建名为“cwinntsystem32comlsassexe”的互斥体，防止系统中有多个病毒进程在运行；检测文件夹下是否存在免疫文件，如果存在执行“动作一”中相关动作删除免疫；在com目录下释放文件netcfg.000、netcfg.dll与smss.exe；在%systemroot%\system32目录下释放动态库dnsq.dll，通过regsvr32.exe /s /c将dnsq.dll注册，并将dnsq.dll添加到AppInit_DLLs键值下，当创建进程时被自动加载，安装全局钩子，以独占方式打开boot.ini与host文件，使得其它线程无法操作这两个文件；之后重复“动作一”中相关动作。    Quote: 项：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ 键值：AppInit_DLLs 指向数据：dnsq.dll 动作四： 枚举磁盘类型将所有分区下autorun.inf删除；在各分区释放autorun.inf文件，通过API函数CreateProcessA执行cmd.exe /C %systemroot%\system32\com\smss.exe %systemroot%\system32\com\lsass.exe ^|C:\pagefile.pif在各分区中以覆盖形式释放隐藏病毒文件pagefile.pif，使用Windows自动播放功能来传播病毒；拷贝lsass.exe为~.exe到启动目录下，通过调用API函数CreateProcessA将smss.exe作为模块名，运行%ALLUSERSPROFILE%\「开始」菜单\程序\启动\~.exe；实现进程互守；枚举磁盘跳过操作系统分区查找所有文件类型，对exe；rar、zip；js等类型文件进行感染，感染方式如下： 1、判断文件扩展名为exe时，将病毒体写入到com目录下临时文件“~”中，再将待感染文件以88k和4k经过Xor指令加密后的数据交替追加到临时文件“~”中，最后再次把病毒体读入内存，取4k代码写入临时文件“~”中，感染过程完毕，通过API函数CreateProcessA执行cmd.exe /C %systemroot%\system32\com\smss.exe %systemroot%\system32\com\~ ^|（待感染文件）.exe将文件覆盖实现感染。 2、判断文件扩展名为zip或rar的时候，查找注册表相关键值取得rar.exe的绝对路径，调用rar命令行参数将文件解压后重复1感染动作，感染完毕后再打包压回。 3、判断扩展名为js的文件时，在文件内插入包含“h**p://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%6%73%701”的框架，解密后为h**p://js.k0102.com/01.asp。                                            Autorun.inf文件内容如下：    Quote: [AutoRun] open=pagefile.pif shell\open=打开(&O) shell\open\Command=pagefile.pif shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=pagefile.pif 动作五： 将如下两个网址作为参数，通过API函数CreateProcessA访问这两个网站显示广告信息。    Quote: h**p://d.gxlgdx.com /html/qb2.html h**p:// f.gxlgdx.com /html/dg2.html 感染对象 Windows 2000/Windows XP/Windows 2003 传播途径 网页木马、文件感染、移动存储介质通过以上可以看出，病毒一旦启动运行后会对微点的进程发送大量垃圾消息、对包含微点的窗口进行关闭操作、对微点注册的win32服务进行删除操作，这又何以见得“ 复制内容到剪贴板 代码:一个任务管理器就把微点搞掉了，之所以那个东东能活下来，是病毒作者没有拿它当对手。 ”呢？反过来讲既然病毒作者没有把微点当作对手为什么要开发出变态的双进程感染机制，一读一写绕过主动防御，为什么要对微点的进程发出windows消息攻击，又为什么通过恢复系统服务分发表删除掉微点的服务使得微点开机无法启动？如果微点对磁碟机不能够构成威胁那么病毒作者又何苦浪费大量的代码这么做？对于任务管理器可以结束微点的进程完全是人性化设计，不相信你可以试试ＩＳ、ＲＫＵ等进程管理工具对微点的作用，或者试试金山自己的进程管理模块是否可以杀死微点的进程。通过看报告还可以看出有“病毒、杀毒、微点”的字样，事实就是事实、事实是不可否认的，在磁碟机运行的情况下微点目前是无法正常安装的，因为在解压缩包的时候任何正规的安全软件都不会丢驱动出来保护安装程序，所以窗口被病毒发现从而关闭；那么我想试问一下金山或者其他的杀毒软件是否能够安装，如果有杀软可以安装上了，要么是这个杀软保护能力太强，就连安装包也要用驱动保护着，要么就是病毒作者根本没有看得起，没把它的窗口放进去。 最后驳录像中的磁碟机突破微点 不知是否可以告知微点的版本信息，如果微点程序版本是当天最新试用版，病毒版本都无所谓，我二话不说以后再不踏进“爱毒霸社区”一步，但是我曾经是用微点测试版（现在的试用版）在微点官方发布那天测试过磁碟机的，那时候行为拦截还不是完美，病毒虽然无法动作但是计算机会重启，因为病毒调用ExitWindowsEx这个函数并加上了强制重启参数，后来这个ｂｕｇ解决了，也就是磁碟机的强制重启被微点拦截了下来，我想不通就是铁军你测试的微点为什么会被磁碟机重启计算机？我知道调用ZwShutdownSystem或NtShutdownSystem是直接熄火式关机的，我想不通既然XXShutdownSystem和ExitWindowsEx都被排除了那么病毒如何在新的微点版本中重启计算机？莫非是自己写了原生系统调用，去通过特殊机制中断CPU关机了？ 疑问了好多，因为没有样本，所以这些疑惑不得其解，知道样本对于杀软公司是很重要的数据资料，不敢奢求，但只想知道我自己这几个疑问的正确解释，不然就算我不想去知道了也会有很多朋友耿耿于怀吧 我虽然是个马甲，但希望你们也可以自重，人活着不就是活个明明白白么？ＱＳ长ＱＳ短那些都没用……我只想知道事实

微点卫士

大奔同学的号真多 。著名的论坛都有 。

在点饭论坛看过了，080103，这版本现在不知道在哪里下载。

能不能把标题改下，在微点区公然点名，有点不好

最近是多事之秋。。。

[ 本帖最后由 微点卫士 于 2008-3-23 00:22 编辑 ]