陈天健开始研究120安全卫士和120杀毒软件,把120杀毒软件的病毒特征库和引擎进行解析。找到了120杀毒软件自动更新升级的服务器ip地址,然后开始用自己的漏洞扫描工具,对120杀毒软件的升级下载服务器进行端口扫描,看是否能有弱口令探测或溢出可以利用,尝试了一个多小时并未发现有明显可以利用的漏洞。看来120公司对自己服务器的安全工作还是做的比较到位。
不能直接入侵服务器,陈天健想到了一个绕弯的办法,陈天健通过尝试强行注入服务器的SQL数据库查询指令,得到了一段服务器的登录日志,这段日志上记录着曾经登录并操作过该服务器的ip地址,也就是说拿到了120公司负责上传升级文件的管理员电脑ip地址。
一时攻克不了安全级别高的服务器,攻克一台普通的个人电脑还是没问题的。通过这个ip地址入侵,没费多大周折,陈天健就拿到了管理员个人电脑的远程操作权限,具有了远程上传和操作文件的权限。拿到权限后,陈天健抹去入侵痕迹,退出。
接着就是制作病毒的工作,陈天健先做了两个病毒子体,又做了一个母体,把两个病毒子体打包在母体里,母体文件本身不是病毒,只起释放作用。然后制作了一个伪装的120病毒特征库文件,又从120安全卫士主文件抽取了三个特征码,放进这个伪装的120病毒特征库。
陈天健的计划,就是“以子之矛,攻子之盾”。用120安全杀毒软件,把120安全卫士给“杀”掉!
按照计划,陈天健通过代理服务器伪装自己的真实ip,登录了120公司升级服务器管理员的电脑,进入他的120杀毒软件更新升级包存放的文件夹,在看到出现最新版本的升级文件包时,立即把母体文件和伪装的120病毒特征库文件复制到这个升级文件包。
管理员并未发觉有什么异样,照常把这个被陈天健动过手脚的升级包上传到120公司的杀毒软件升级下载服务器上。
在接下来的几个小时里,在线的几千万台安装了120杀毒软件并设置了自动升级的个人电脑,下载了120杀毒软件的更新升级安装包。
潜伏在更新升级安装包里的病毒母体,在达到触发条件后,立即释放出两个子体,第一个子体是潜伏性病毒,它进行全盘映像劫持,其功能是重新生成一个伪装病毒特征文件替换真正的病毒特征文件。用户在每次重新启动后,只要进过任何一个硬盘分区(C盘、D盘、E盘、F盘),就会立即运行这个病毒,重新复制伪造的病毒特征替换真实的。这个病毒就算重新GhostC盘做系统也无法清除,打开C盘以外的分区又会重新感染,只有全盘低格才能清除。
第二个子体则是作为炮灰准备要牺牲的一个显性攻击病毒,它直接中止120公司所有产品的进程,同时拒绝浏览器打开120官网,只要输入120官网的网址浏览器就会自动关闭。
整个病毒运行过程只针对120,对用户电脑的其他资料文件不做任何操作。不影响除120公司产品以外的软件正常运行。换言之,只要你电脑里面没有了120的软件,你的电脑就一切正常。
几小时内,几千万台电脑开始出现病毒反应,120杀毒实时监控报警,发现120安全卫士是病毒!立即中止其运行和删除。无数电脑用户被屏幕上弹出来的提示弄的目瞪口呆,这也太离谱了吧!120杀毒软件把120安全卫士给杀掉了!
马上有人上120的官网想去反映,发现只要输入120的官网网址,浏览器就立即关闭了,然后120安全卫士、120杀毒软件、120浏览器都开始自动关闭无法打开,有一部分人开始意识到是中了病毒。有些人把120的所有软件卸载删除以后,发现系统又正常了。
接到病毒报告的120公司现在已经乱成了一锅粥,技术总监紧急召集所有的程序员、病毒分析员开会研究攻关这个病毒。根据现在反映的病毒特征,这是一个可以篡改杀毒软件的攻击性病毒,而且中了病毒的用户电脑都被强制关闭了所有120的软件,无法打开120官网,用户无法下载最新版本的120杀毒软件。
120公司发现除了安装有120杀毒软件并且今天升过级的用户电脑,才中了这个病毒,安装其他安全防护软件的用户并未有中毒反应。技术人员立即检查今天的病毒更新升级包,发现原来的更新升级包被人替换。
120的技术总监一拍桌子:“这一定是我们的竞争对手有意针对我们的攻击行为!能不能查到入侵电脑的IP地址?!”手下的技术人员马上查看日志,发现IP地址来自国外,无法查到真实来源。
120公司开始对这个伪装的病毒升级包进行分析,发现了120杀毒软件的病毒特征库被加入了自己的120安全卫士的特征码,自己的杀毒软件把自己的安全卫士杀掉了。另一个自释放文件包释放了一个具有强大攻击性的病毒,能把所有120的产品全部强制关闭。这个攻击意图明显的病毒完全吸引了120公司技术人员的注意力。
120公司马上将服务器上的升级更新包删除,换上新的升级包,避免还未升级的用户下载病毒受到攻击,尽量减少影响。但据初步统计,已经有五千多万的客户端受到了病毒的影响。
120公司的技术人员针对攻击性病毒展开研究和攻关,在2个小时后做出了这个病毒的专杀工具,因为时间紧迫,测试能杀掉该病毒后,就立即通知公关部门联系各大新闻网站和下载网站,发布新闻说网上出现恶意针对杀毒软件的病毒,这个病毒被命名为“黑色风暴”,受到影响的用户可以立即到各大下载站和新闻网站提供的下载链接下载120公司紧急推出的专杀工具。
陈天健看到网上的这条新闻,露出狡黠一笑:“黑色风暴?专杀工具?等着瞧吧。”
陆续有看到新闻的用户下载了“黑色风暴”专杀工具,用专杀工具把具有显性攻击性的病毒清除后,已经能够登录120的官网重新下载最新版本的安全卫士和杀毒软件。
但是这些用户随后发现一个奇怪的问题,重新安装好安全卫士和杀毒软件后,重启系统,之后只要打开过任何一个硬盘分区,120杀毒软件又会重新把120安全卫士杀掉。一些用户怕病毒清除不干净,保险起见重新Ghost系统,最终发现ghost系统也没有用。
这引起了120用户的极度不满,120官网的论坛讨论区被蜂拥而至的用户投诉和声讨挤爆。很多用户对120公司的产品表现出强烈质疑,连自己的安全工具都不能识别和保护的杀毒软件,还有什么能力去保护用户的系统和软件?
“120你们搞什么?什么破专杀工具,根本不起作用!”“天下没有白吃的午餐,谁让你们用免费的呢?”“120以前是做流氓软件出身的,就他们的技术实力根本做不了杀毒软件。”“我是用锐月杀毒的,我就没有中病毒。”“用小绿伞吧!”“用银山杀毒……”各种各样的帖子,有幸灾乐祸的,有劝用别的安全软件的,看来其他的杀毒软件厂商有趁机落尽下石和抢占用户之嫌。
陈天健一度有利用《3M软件监控》推出专杀工具的冲动,自己做的病毒自己当然知道怎么样去清除,但是这样一来,《3M软件监控》是打出名气了,陈天健也会被推到风口浪尖,说不定会被120公司怀疑到自己身上,到时候可能会惹上一身麻烦,陈天健放弃了这个诱人的念头。
“这次是考验安全软件厂商实力的时候了。”陈天健心想,“谁能最快速度针对我设计的潜伏映像劫持病毒推出专杀工具,就能证明他确实有两把刷子。”
12小时以后,银山杀毒软件公司最先宣布发现针对120杀毒软件的映像劫持病毒,并推出免费的专杀工具,称自己公司的银山杀毒软件可以清除和防御此类病毒。
16小时以后,锐月杀毒软件公司宣布其公司的杀毒软件能清除映像劫持病毒,并提供免费的专杀和免疫工具。
24小时以后,小绿伞、海民等其他杀毒软件厂商都陆续宣布自己的产品已经能清除映像劫持病毒。
120公司依然没有动静,其实不是没有动静,他们负责杀毒软件的技术总监早已经飞往国外,前往号称世界第一的BB杀毒软件公司求救。
陈天健当然知道BB杀毒软件,这是一家国外的号称世界排名第一的杀毒软件。陈天健也知道120公司的杀毒软件其实就是采用的BB杀毒软件的引擎和基础病毒库。
“国外的东西就一定好吗?世界第一的东西就天下无敌吗?”陈天健心想,“Doors操作系统不也是国外的,不也是世界第一,还不就是一件外面光鲜靓丽,里面却长满虱子还全是补丁的破棉袄。”
陈天健之前通过解析120公司的杀毒软件,就了解到120的杀软技术,实际上还停留在照搬BB杀毒引擎,利用他们的基础病毒库,再补充一些华夏国特有的病毒特征码的初级阶段。根本没有掌握系统底层杀毒的核心技术。陈天健测试120杀毒软件时,发现如果A.exe是一个已知的华夏国病毒,把任何一个文件改名为A.exe都会被当作病毒报警,而如果把A.exe这个真正的病毒文件改名为其他的文件名,120杀毒软件就识别不出来了。陈天健怀疑要么是120公司的病毒技术员太偷懒了,简单的把A.exe文件名作为病毒特征,要么是他们根本没有进行特征码分析判断的能力。
直到2天后,120公司才正式对外宣布,最新版的120杀毒软件已经能清除和防御映像劫持病毒。
这一次事件在安全软件行业内被戏称是120“自杀”事件。因为这次事件,造成了120杀毒软件和120安全卫士的用户大量流失,120安全卫士的市场占有率从原来的75%下降到60%,而之前凭着永久免费的口号吸引了华夏国大批用户的120杀毒软件,在众多其他杀毒软件公司纷纷推出免费半年试用活动的打击下,市场份额由原来的60%掉落到30%,可谓是损失惨重。120公司内部核查了很长一段时间也没有查到到底是哪个竞争对手与他们过不去,从此疑神疑鬼草木皆兵。
原本打算与120公司合作的最大客户端软件PP,突然放弃了与120合作的意向,转而推出自己模仿制作的安全工具——PP医生,并利用PP聊天工具的广告弹窗和自动升级,开始大力向用户推广,从此走上了与120安全卫士的竞争之路。
陈天健的这次病毒攻击,狠狠教训了一下120公司,一解了他心头之恨,但实际并未给他带来太多好处。《3M软件监控》依然是120里的恶评软件。虽然120公司产品的市场份额下降,技术受到公众质疑,但对陈天健的软件推广并未有太多的帮助。
只在后来,他才知道,他的这次病毒攻击行动,无意间搅动了华夏国整个软件客户端的平衡局面,引发了未来几年的各大软件客户端之间争夺市场霸主地位的战争。
PS:亲们,求推荐票票啦!
