发信人: shopping()
整理人: jia(1998-08-12 12:43:58), 站内信件
|
-----------------------------------
◆ 对江民炸弹事件的定性结论
◆ 对技术分析的几点补充
◆ 关于王江民随后的文件更换
~~~~~~~~~~~~
对江民炸弹事件的定性结论
~~~~~~~~~~~~
北京江民新技术有限责任公司于1997年 6月24日发布了其反病毒软件商业产
品KV300 L++ 升级版本 ( 来源:http://www2.east.cn.net/~wjm 和
http://www.jiangmin.com) 含有对计算机用户进行侵害的逻辑炸弹程序代码,
对所有使用 KV300的用户都存在危害或潜在危害。我们对此命名为江民炸弹。
江民炸弹是中国反病毒领域的一起严重的恶性破坏事件。王江民通过计算机
犯罪的方法来对他理解为盗版的行为进行报复,但这个报复措施能够破坏无辜用
户的计算机数据,扰乱和延误用户对计算机的正常使用,并导致不可估量的连带
结果。引起人们对计算机安全产品的恐慌心理,破坏了计算机反病毒软件的市场
秩序和中国软件行业的形象,给计算机用户和国家的建设带来巨大的损失。
逻辑炸弹名词解释:在特定逻辑条件下对计算机事实破坏行为的计算机程序。
激发条件:
1,1997年6月24日至25日(再宽的范围我们不敢肯定)从上述江民公司的网点
上下载的 KV300 L++,文件名 kv300laa.zip,大小316832字节,内含KV300.exe
大小是 83316 字节;
2,在启动 KV300 L++的过程中,满足了下面情况之一:
(1) KV300 L++ 拷贝在一张使用了从 http://av-china.base.org 下载的
MK300V4.2a 制作成功的3.5" KV300钥匙盘上;
(2) KV300 L++ 拷贝在硬盘运行,在软驱里面插入了(1)中所述的磁盘, 即
使该磁盘已经存放了其它文件,当作一般磁盘来使用;
(3) KV300 L++ 拷贝在硬盘运行,上述(1)磁盘拷贝了KV300或其它数据,用
户欲使用硬盘的上的 KV300 来检查该软盘有无病毒,而在 KV300 启动
过程中忘记插入正版 KV300 磁盘;
(4) KV300 L++ 拷贝在硬盘运行,在软驱里面插入了使用与MK300V4 相似的
方法制作加密的其它正版软件磁盘或其它加密磁盘;
(5) 驱动器或 KV300 正版磁盘出现不可预料的不稳定情况时;
(6) 其它非意料因素、未分析出的因素和未遇到的因素;
3,所使用的PC没有BIOS Virus Warning功能,或没有选择该功能, 或选择
该功能后在告警提示时选择了 Yes。
4,6月29日下载的L++版本 kv300laa.zip 317006 字节,在我们实验的样机
上仍然具有破坏作用,具体区别尚没有比较。
硬盘被袭击之后,通过通常的启动软盘和硬盘都无法直接引导计算机。
~~~~~~~~~~
对技术分析的几点补充
~~~~~~~~~~
在 6月25日到28日这三天里面,我们收到大量的来信,向我们通知通报或发
出求救,幸好,我们赶在王江民修改主页更换文件之前下载了 KV300 L++,后来
我们再次下载时文件已经不一样了,但我们实验仍然有破坏作用。
现在将初步结果通告如下:
由于清华 BBS板主 bluesea已经做了比较详细的分析,总共有三个网上的不
知名的朋友向我们转寄了这份分析。该分析我们又核查了一遍,我们表示认同。
因此相同的部分不再重复。
1,我们实验使用的PC只有一个3.5"软驱,仍然有破坏行为;
2,有很多计算机的 ROM BIOS SETUP 含有 Virus Warning (病毒告警)选项,
该选项 Enable 时,中断13h 将对一切改写引导扇区的操作做告警。经过实验,
运行 KV300 L++ 时,如果选择该选项,则会产生告警。如果选择 Yes 则计算机
遭破坏,否则可以避免罹难;我们实验的结果是 BIOS 将告警两次。
3,修改 IO.SYS的方法最早见于今年初在科大BBS 上的文章,是比较简单有
效的方法,我们已经制作成工具,可以在我们的网点下载,详细见后文;
4,重新引导硬盘的方法还可以参见科大病毒板板主Jun_Fang关于解决KV300
病毒的著名汇总,在我们的网点上可以下载(见下载页)。该文比较全但比较复杂,
不适合非计算机专业人士阅读;
5,关于数据恢复。我们初步分析了破坏状况,被破坏的 C:盘数据是有可能
逆转的。我们最后认定要等到对该程序进行跟踪和分析,并且完成实验之后。这
次江民炸弹事件与与今年 1月爆发的王江民的“KV300病毒”或 “发发发发变形
鬼魂”事件很相似。但是从BBS讨论看,上次数据可以恢复, 而这次由于江民炸
弹破坏硬盘分区表,因此,威胁更大。用 NDD 或其它类似工具有很大的盲目性。
~~~~~~~~~~~~
关于王江民随后的文件更换
~~~~~~~~~~~~
我们在 6月29日再次访问江民公司的网点时,发现文件已经变更。但仍然叫
做L++ ,我们经过实验,发现仍然有破坏作用。但具体有什么不同,尚没有比较。
在文件上比较是这样的:
6月25日下载的L++版本 kv300laa.zip 316832 字节
D:\BOMBTEST\KVLAA625>pkunzip -v kv300laa.zip
......
Length Method Size Ratio Date Time CRC-32 Attr Name
------ ------ ----- ----- ---- ---- -------- ---- ----
452 DeflatN 184 60% 06-25-96 12:43 3973d461 --w- FILELIST.TXT
83316 DeflatN 82665 1% 06-23-97 05:53 b2c1be64 --w- KV300.EXE
1291 DeflatN 1262 3% 06-23-97 05:58 f401a527 --w- KV300FIX.EXE
13220 DeflatN 4604 66% 06-23-97 04:58 9c630a76 --w- VIRUS.DAT
13798 DeflatN 5205 63% 06-23-97 13:44 cafd0a90 --w- VIRUS-1.DAT
57066 DeflatN 23674 59% 06-23-97 09:52 9c97abdb --w- HELP
38111 DeflatN 8650 78% 06-23-97 05:28 064c7735 --w- VIRLIST.TXT
40161 DeflatN 38865 4% 06-23-97 23:58 12384975 --w- VIRLIST.EXE
79693 DeflatN 77387 3% 06-23-97 14:08 da21f852 --w- README.EXE
75695 DeflatN 73356 4% 06-23-97 14:16 8b01d3c7 --w- KV300G.EXE
------ ------ --- -------
402803 315852 22% 10
6月29日下载的L++版本 kv300laa.zip 317006 字节
D:\BOMBTEST\KVLAA629>pkunzip -v kv300laa.zip
......
Length Method Size Ratio Date Time CRC-32 Attr Name
------ ------ ----- ----- ---- ---- -------- ---- ----
452 DeflatN 184 60% 06-25-96 12:43 3973d461 --w- FILELIST.TXT
83316 DeflatN 82665 1% 06-23-97 05:53 b2c1be64 --w- KV300.EXE
1291 DeflatN 1262 3% 06-23-97 05:58 f401a527 --w- KV300FIX.EXE
13220 DeflatN 4604 66% 06-23-97 04:58 9c630a76 --w- VIRUS.DAT
13798 DeflatN 5205 63% 06-23-97 13:44 cafd0a90 --w- VIRUS-1.DAT
57066 DeflatN 23674 59% 06-23-97 09:52 9c97abdb --w- HELP
38111 DeflatN 8650 78% 06-23-97 05:28 064c7735 --w- VIRLIST.TXT
40161 DeflatN 38865 4% 06-23-97 23:58 12384975 --w- VIRLIST.EXE
79693 DeflatN 77387 3% 06-23-97 14:08 da21f852 --w- README.EXE
75695 DeflatN 73356 4% 06-23-97 14:16 8b01d3c7 --w- KV300G.EXE
------ ------ --- -------
402803 315852 22% 10
------------
1997.06.29
[]
【 在 shopping (傻平) 的大作中提到: 】
: 陈伟安:痛心疾首:我对王江民的信任和幻想把我害惨了!而且非常残酷!
: (一个受王江民毒害的KV300正版用户)
: http://sinoway.dnscentral.net/bbs/bbs1-2/messages/2508.html
: 【编者按】我们痛心地看到一位误以为王江民技术高明而对 KV300无限
: 信任的用户陷入无限痛楚的境地。合法用户屡屡惨遭王江民袭击,这不
: 能不说是90年代中国软件行业的一个悲剧。法律,你的声音和力量在此
: 时显得何等的孱弱!
: 消息发布者:陈伟安(一个受王江民毒害的KV300正版用户)
: 发布时间: July 02, 1997 at 13:32:31
: 电话: 0775-2831948
: 传真: 0775-2831948
: 我是一个KV300的正版用户,以前对王江民还相当信任和理解,
: 但在亲身经历了以下的严重事件后,我对王江民的恶劣品质有
: 了深刻认识!对他痛心疾首!希望我的教训对后来人有帮助。
: 我是一个计算机专业的本科毕业生,对计算机有相当认识和
: 理解,平时以分析程序、修理机器、上INTERNET网为乐---我
: 这次栽得非常厉害!
: 1997年6月29日,我按往常的习惯,又到王江民的新网址
: 去下载KV300的升级版本(我从B版一直升到L版!)这次是L++
: 版。在K版开始,KV300就不能把下载得到的程序拷到KV300磁盘
: (正版)来使用了,必须在后面加上一个123参数才可运行(感谢
: 电脑报,我就是从这里的BBS得到这“秘密”的!)那时,我曾以
: 为我的正版KV300永远不能升级了呢!有了123参数,我又可以享
: 受KV300的升级了---虽然有点麻烦。我心里对王江民是又爱又恨,
: 爱的是:KV300的杀毒功能非常强大。(写本稿时对这点我已经
: 不敢肯定了);恨的是:王江民怎么能这样对待我们这些老牌的
: KV300正版用户?!我可花了钱来购买KV300!
: 这次我照例先把KV300正版磁盘插入A驱动器,在硬盘上运行刚
: 下载的L++版(没加123参数),哈,竟然成功了!看来L++版已
: 经改过了K版后的毛病!我在网上也看到不少有关王江民的传言,
: 都是说他的坏话,我是半信半疑---我对他是很佩服的,因为在大
: 学读书时,我曾花了一天来分析KV100程序,看到里面的不少巧妙
: 的编程技巧,很高明!其中的反静态、反动态跟踪技巧给我留下
: 深刻印象:使用了几乎所有的手段,最厉害的是“动态生成程序”
: 手段,我也无法再跟踪下去了!我知道自己的水平有限,但能碰
: 到KV100这样的编程者,我对王江民是非常佩服和理解的:为了
: 维护自己权益,用高明的反盗版技术是无可厚非的;他真是一个
: 编程高手!一个这样高明的程序员的杀毒软件应该是很好的,他
: 的人格也是令人佩服的!----各位,这就是我对王江民信任和理
: 解,这都是有理由的---一个聪明人利用他自己的才华来赚钱,
: 无可厚非!
: 在成功运行了L++版KV300后,我又尝试把自制的KEY盘(对
: L、L+版都有效)插进A:---我想看看它对L++版是否有效。敲
: 进正确命令后,A:盘灯亮,一会儿后,屏幕忽然提示:有写自举
: 扇区的操作,继续吗?(我的主板是有反病毒警告功能的,在程序
: 执行异常操作时会弹出警告。)我的硬盘是1G的,内容很多,我
: 不能冒险!我马上终止了程序运行。可是我的好奇心来了:L++
: 版的KV300想干什么呢?破坏我的硬盘自举扇区?对那些盗版用
: 户给予打击?为了弄清这个问题,我把硬盘卸掉再运行L++,发
: 现那个警告不见了,只是死机了。我明白了:它只对硬盘进行写
: 操作。当然,我自制KEY盘对L++是无效的。我把一个200M的备
: 用硬盘接上,先把它的主引导扇区备份(就算KV300破坏了,我
: 也可以修复它),再次运行L++,这次那个警告又出现了!---大
: 不了对硬盘重新分区,反正备用硬盘里面没什么重要数据---我敲
: 了两下“Y”键(它要对硬盘写两次),让L++版KV300对我的硬
: 盘进行写入操作。当时我没意识到:严重的事件已经发生了!
: 写入后,还是死机。好了,该看看L++版对我的硬盘干了什
: 么事了!我冷启动后,发现用硬盘不能启动---哈,王江民居然
: 破坏得这么“厉害”,硬盘的主引导扇区已经给破坏了---真绝。
: 我这时还是很轻松:不过是破坏硬盘主引导扇区而已,我用备份
: 恢复就行了。但我对王江民这个人已经有点意见了:那些普通用
: 户不明所以没有准备,就给你害惨了!你这一招真毒。我把启动
: 盘插入A:,用A:盘启动机器,满怀信心地期待屏幕出现A:>,
: 我就可以对我的硬盘进行“医疗”了!---我对这种事很在行。
: 出乎我的意料,机器还是不能启动:在出现了STARTING
: MSDOS...这行字后就死机了,硬盘灯一直亮着。我又换了一张
: 启动盘重试一次,现象依旧。我有点慌了,王江民改写了CMOS?
: 使每次启动总是先从硬盘启动?我马上把CMOS放电,重新设成A:
: 先启动,再试一次,还是不能启动!我慌了:怎么办?软硬盘都
: 不能启动,一切“医疗”手段都无从下手!
: 接下来我又干了一件蠢事:我把1G的硬盘也接了上去,把
: 200M的硬盘变成“从盘”。我希望这样能使我的机器启动后认识
: 200M硬盘,这样我就可以重新对它分区了。出乎意料,机器还是
: 不能启动!我在1G硬盘装的是WIN95系统,用WIN95的启动软盘
: 又启动一次,还是不行。我注意到死机时硬盘灯一直亮着:可能
: 王江民在200M硬盘上改写了一些信息代码,因为DOS系统在启动
: 时要获得有关硬盘的一些信息,读不出来就一直循环读。我相信
: 我的判断是对的,但怎么解决呢?有两条途径:低级格式化或改
: 写DOS系统内核程序,让它跳过启动时循环读硬盘信息的步骤。
: 我没时间分析DOS内核,就把我的200M硬盘低级格式化了---我
: 知道有一些硬盘是不允许低级格式化的,但我只好冒这个险了。
: (我当时还没有在电脑报的读者BBS看到有关的解决办法)
: 我的主板没有低级格式化功能,我托一个朋友把我的200硬盘
: “低格”后,就又能正常使用了。
: 事情似乎解决了。但还没完呢!我发现我的1G的硬盘的中文
: WIN95不能进去了!我只是把它和200M的硬盘接在了一起而已!
: 而已机器也未能启动,难道L++的“炸弹”也波及了我的1G硬盘?!
: 我用SCANDISK扫描C:,发现了很多错误连接的文件---一定是
: L++干的“好事”!在这之前我的WIN95都好好的。我不敢重装
: WIN95---我的WIN95已经装了很多内嵌程序!我小心地花了两
: 个多小时把我原来WIN95的桌面和程序恢复成功,但有一些程序
: 还是要重新安装才行。我终于逃过了L++的“逻辑炸弹”!
: 你会问:这一切的责任者是谁?我说:我的好奇心导致了我的
: 磨难,但最恶毒的是制造这“逻辑炸弹”的王江民!他用的手段
: 实在太过分了!一般的用户遇到同样问题后可能根本无法解决这
: 些破坏后果,数据不见了不说,可能还以为硬盘被永久毁坏了!
: 事情过去了,但它使我看清了王江民的真面目,希望广大用
: 户引以为戒:王江民为了自己的利益,在L++版的KV300中埋藏有
: 厉害无比的最恶毒的“逻辑炸弹”!小心!小心!
: 我对计算机安全法没研究,不知道王江民这样做是否触犯了
: 法律,是否该惩之以法?但我知道:象这种恶毒的手段是应该受
: 到社会一致谴责的!在病毒泛滥的今天,“杀毒”软件反过来
: 散布病毒,这不令人太心寒了吗?王江民的职业道德哪里去了?
--
漫漫的银河,有千亿个星辰,发散出千亿种光芒
在这银河的一角,有个独一无二的野心,发散着独一无二的光芒。。。
※ 来源:·Netease BBS bbs.nease.net·[FROM: 202.96.185.228]
|
|