陳天健開始研究120安全衛士和120殺毒軟件,把120殺毒軟件的病毒特徵庫和引擎進行解析。找到了120殺毒軟件自動更新升級的服務器ip地址,然後開始用自己的漏洞掃瞄工具,對120殺毒軟件的升級下載服務器進行端口掃瞄,看是否能有弱口令探測或溢出可以利用,嘗試了一個多小時並未發現有明顯可以利用的漏洞。看來120公司對自己服務器的安全工作還是做的比較到位。
不能直接入侵服務器,陳天健想到了一個繞彎的辦法,陳天健通過嘗試強行注入服務器的sql數據庫查詢指令,得到了一段服務器的登錄日誌,這段日誌上記錄著曾經登錄並操作過該服務器的ip地址,也就是說拿到了120公司負責上傳升級文件的管理員電腦ip地址。
一時攻克不了安全級別高的服務器,攻克一台普通的個人電腦還是沒問題的。通過這個ip地址入侵,沒費多大周折,陳天健就拿到了管理員個人電腦的遠程操作權限,具有了遠程上傳和操作文件的權限。拿到權限後,陳天健抹去入侵痕跡,退出。
接著就是製作病毒的工作,陳天健先做了兩個病毒子體,又做了一個母體,把兩個病毒子體打包在母體裡,母體文件本身不是病毒,只起釋放作用。然後製作了一個偽裝的120病毒特徵庫文件,又從120安全衛士主文件抽取了三個特徵碼,放進這個偽裝的120病毒特徵庫。
陳天健的計劃,就是「以子之矛,攻子之盾」。用120安全殺毒軟件,把120安全衛士給「殺」掉!
按照計劃,陳天健通過代理服務器偽裝自己的真實ip,登錄了120公司升級服務器管理員的電腦,進入他的120殺毒軟件更新升級包存放的文件夾,在看到出現最新版本的升級文件包時,立即把母體文件和偽裝的120病毒特徵庫文件複製到這個升級文件包。
管理員並未發覺有什麼異樣,照常把這個被陳天健動過手腳的升級包上傳到120公司的殺毒軟件升級下載服務器上。
在接下來的幾個小時裡,在線的幾千萬台安裝了120殺毒軟件並設置了自動升級的個人電腦,下載了120殺毒軟件的更新升級安裝包。
潛伏在更新升級安裝包裡的病毒母體,在達到觸發條件後,立即釋放出兩個子體,第一個子體是潛伏xing病毒,它進行全盤映像劫持,其功能是重新生成一個偽裝病毒特徵文件替換真正的病毒特徵文件。用戶在每次重新啟動後,只要進過任何一個硬盤分區(c盤、d盤、e盤、f盤),就會立即運行這個病毒,重新複製偽造的病毒特徵替換真實的。這個病毒就算重新ghostc盤做系統也無法清除,打開c盤以外的分區又會重新感染,只有全盤低格才能清除。
第二個子體則是作為炮灰準備要犧牲的一個顯性攻擊病毒,它直接中止120公司所有產品的進程,同時拒絕瀏覽器打開120官網,只要輸入120官網的網址瀏覽器就會自動關閉。
整個病毒運行過程只針對120,對用戶電腦的其他資料文件不做任何操作。不影響除120公司產品以外的軟件正常運行。換言之,只要你電腦裡面沒有了120的軟件,你的電腦就一切正常。
幾小時內,幾千萬台電腦開始出現病毒反應,120殺毒實時監控報警,發現120安全衛士是病毒!立即中止其運行和刪除。無數電腦用戶被屏幕上彈出來的提示弄的目瞪口呆,這也太離譜了吧!120殺毒軟件把120安全衛士給殺掉了!
馬上有人上120的官網想去反映,發現只要輸入120的官網網址,瀏覽器就立即關閉了,然後120安全衛士、120殺毒軟件、120瀏覽器都開始自動關閉無法打開,有一部分人開始意識到是中了病毒。有些人把120的所有軟件卸載刪除以後,發現系統又正常了。
接到病毒報告的120公司現在已經亂成了一鍋粥,技術總監緊急召集所有的程序員、病毒分析員開會研究攻關這個病毒。根據現在反映的病毒特徵,這是一個可以篡改殺毒軟件的攻擊性病毒,而且中了病毒的用戶電腦都被強制關閉了所有120的軟件,無法打開120官網,用戶無法下載最新版本的120殺毒軟件。
120公司發現除了安裝有120殺毒軟件並且今天升過級的用戶電腦,才中了這個病毒,安裝其他安全防護軟件的用戶並未有中毒反應。技術人員立即檢查今天的病毒更新升級包,發現原來的更新升級包被人替換。
120的技術總監一拍桌子:「這一定是我們的競爭對手有意針對我們的攻擊行為!能不能查到入侵電腦的ip地址?!」手下的技術人員馬上查看日誌,發現ip地址來自國外,無法查到真實來源。
120公司開始對這個偽裝的病毒升級包進行分析,發現了120殺毒軟件的病毒特徵庫被加入了自己的120安全衛士的特徵碼,自己的殺毒軟件把自己的安全衛士殺掉了。另一個自釋放文件包釋放了一個具有強大攻擊性的病毒,能把所有120的產品全部強制關閉。這個攻擊意圖明顯的病毒完全吸引了120公司技術人員的注意力。
120公司馬上將服務器上的升級更新包刪除,換上新的升級包,避免還未升級的用戶下載病毒受到攻擊,盡量減少影響。但據初步統計,已經有五千多萬的客戶端受到了病毒的影響。
120公司的技術人員針對攻擊性病毒展開研究和攻關,在2個小時後做出了這個病毒的專殺工具,因為時間緊迫,測試能殺掉該病毒後,就立即通知公關部門聯繫各大新聞網站和下載網站,發佈新聞說網上出現惡意針對殺毒軟件的病毒,這個病毒被命名為「黑色風暴」,受到影響的用戶可以立即到各大下載站和新聞網站提供的下載鏈接下載120公司緊急推出的專殺工具。
陳天健看到網上的這條新聞,露出狡黠一笑:「黑色風暴?專殺工具?等著瞧吧。」
陸續有看到新聞的用戶下載了「黑色風暴」專殺工具,用專殺工具把具有顯性攻擊性的病毒清除後,已經能夠登錄120的官網重新下載最新版本的安全衛士和殺毒軟件。
但是這些用戶隨後發現一個奇怪的問題,重新安裝好安全衛士和殺毒軟件後,重啟系統,之後只要打開過任何一個硬盤分區,120殺毒軟件又會重新把120安全衛士殺掉。一些用戶怕病毒清除不乾淨,保險起見重新ghost系統,最終發現ghost系統也沒有用。
這引起了120用戶的極度不滿,120官網的論壇討論區被蜂擁而至的用戶投訴和聲討擠爆。很多用戶對120公司的產品表現出強烈質疑,連自己的安全工具都不能識別和保護的殺毒軟件,還有什麼能力去保護用戶的系統和軟件?
「120你們搞什麼?什麼破專殺工具,根本不起作用!」「天下沒有白吃的午餐,誰讓你們用免費的呢?」「120以前是做流氓軟件出身的,就他們的技術實力根本做不了殺毒軟件。」「我是用銳月殺毒的,我就沒有中病毒。」「用小綠傘吧!」「用銀山殺毒……」各種各樣的帖子,有幸災樂禍的,有勸用別的安全軟件的,看來其他的殺毒軟件廠商有趁機落盡下石和搶佔用戶之嫌。
陳天健一度有利用《3m軟件監控》推出專殺工具的衝動,自己做的病毒自己當然知道怎麼樣去清除,但是這樣一來,《3m軟件監控》是打出名氣了,陳天健也會被推到風口浪尖,說不定會被120公司懷疑到自己身上,到時候可能會惹上一身麻煩,陳天健放棄了這個誘人的念頭。
「這次是考驗安全軟件廠商實力的時候了。」陳天健心想,「誰能最快速度針對我設計的潛伏映像劫持病毒推出專殺工具,就能證明他確實有兩把刷子。」
12小時以後,銀山殺毒軟件公司最先宣佈發現針對120殺毒軟件的映像劫持病毒,並推出免費的專殺工具,稱自己公司的銀山殺毒軟件可以清除和防禦此類病毒。
16小時以後,銳月殺毒軟件公司宣佈其公司的殺毒軟件能清除映像劫持病毒,並提供免費的專殺和免疫工具。
24小時以後,小綠傘、海民等其他殺毒軟件廠商都陸續宣佈自己的產品已經能清除映像劫持病毒。
120公司依然沒有動靜,其實不是沒有動靜,他們負責殺毒軟件的技術總監早已經飛往國外,前往號稱世界第一的bb殺毒軟件公司求救。
陳天健當然知道bb殺毒軟件,這是一家國外的號稱世界排名第一的殺毒軟件。陳天健也知道120公司的殺毒軟件其實就是採用的bb殺毒軟件的引擎和基礎病毒庫。
「國外的東西就一定好嗎?世界第一的東西就天下無敵嗎?」陳天健心想,「doors操作系統不也是國外的,不也是世界第一,還不就是一件外面光鮮靚麗,裡面卻長滿虱子還全是補丁的破棉襖。」
陳天健之前通過解析120公司的殺毒軟件,就瞭解到120的殺軟技術,實際上還停留在照搬bb殺毒引擎,利用他們的基礎病毒庫,再補充一些華夏國特有的病毒特徵碼的初級階段。根本沒有掌握系統底層殺毒的核心技術。陳天健測試120殺毒軟件時,發現如果a.exe是一個已知的華夏國病毒,把任何一個文件改名為a.exe都會被當作病毒報警,而如果把a.exe這個真正的病毒文件改名為其他的文件名,120殺毒軟件就識別不出來了。陳天健懷疑要麼是120公司的病毒技術員太偷懶了,簡單的把a.exe文件名作為病毒特徵,要麼是他們根本沒有進行特徵碼分析判斷的能力。
直到2天後,120公司才正式對外宣佈,最新版的120殺毒軟件已經能清除和防禦映像劫持病毒。
這一次事件在安全軟件行業內被戲稱是120「自殺」事件。因為這次事件,造成了120殺毒軟件和120安全衛士的用戶大量流失,120安全衛士的市場佔有率從原來的75%下降到60%,而之前憑著永久免費的口號吸引了華夏國大批用戶的120殺毒軟件,在眾多其他殺毒軟件公司紛紛推出免費半年試用活動的打擊下,市場份額由原來的60%掉落到30%,可謂是損失慘重。120公司內部核查了很長一段時間也沒有查到到底是哪個競爭對手與他們過不去,從此疑神疑鬼草木皆兵。
原本打算與120公司合作的最大客戶端軟件pp,突然放棄了與120合作的意向,轉而推出自己模仿製作的安全工具——pp醫生,並利用pp聊天工具的廣告彈窗和自動升級,開始大力向用戶推廣,從此走上了與120安全衛士的競爭之路。
陳天健的這次病毒攻擊,狠狠教訓了一下120公司,一解了他心頭之恨,但實際並未給他帶來太多好處。《3m軟件監控》依然是120里的惡評軟件。雖然120公司產品的市場份額下降,技術受到公眾質疑,但對陳天健的軟件推廣並未有太多的幫助。
只在後來,他才知道,他的這次病毒攻擊行動,無意間攪動了華夏國整個軟件客戶端的平衡局面,引發了未來幾年的各大軟件客戶端之間爭奪市場霸主地位的戰爭。
ps:親們,求推薦票票啦!