发信人: shopping()
整理人: jia(1998-08-12 12:43:58), 站内信件
|
-----------------------------------
◆ 对江民炸弹事件的定性结论 ◆ 对技术分析的几点补充 ◆ 关于王江民随后的文件更换
~~~~~~~~~~~~ 对江民炸弹事件的定性结论 ~~~~~~~~~~~~
北京江民新技术有限责任公司于1997年 6月24日发布了其反病毒软件商业产 品KV300 L++ 升级版本 ( 来源:http://www2.east.cn.net/~wjm 和 http://www.jiangmin.com) 含有对计算机用户进行侵害的逻辑炸弹程序代码, 对所有使用 KV300的用户都存在危害或潜在危害。我们对此命名为江民炸弹。
江民炸弹是中国反病毒领域的一起严重的恶性破坏事件。王江民通过计算机 犯罪的方法来对他理解为盗版的行为进行报复,但这个报复措施能够破坏无辜用 户的计算机数据,扰乱和延误用户对计算机的正常使用,并导致不可估量的连带 结果。引起人们对计算机安全产品的恐慌心理,破坏了计算机反病毒软件的市场 秩序和中国软件行业的形象,给计算机用户和国家的建设带来巨大的损失。
逻辑炸弹名词解释:在特定逻辑条件下对计算机事实破坏行为的计算机程序。
激发条件:
1,1997年6月24日至25日(再宽的范围我们不敢肯定)从上述江民公司的网点 上下载的 KV300 L++,文件名 kv300laa.zip,大小316832字节,内含KV300.exe 大小是 83316 字节;
2,在启动 KV300 L++的过程中,满足了下面情况之一:
(1) KV300 L++ 拷贝在一张使用了从 http://av-china.base.org 下载的 MK300V4.2a 制作成功的3.5" KV300钥匙盘上;
(2) KV300 L++ 拷贝在硬盘运行,在软驱里面插入了(1)中所述的磁盘, 即 使该磁盘已经存放了其它文件,当作一般磁盘来使用;
(3) KV300 L++ 拷贝在硬盘运行,上述(1)磁盘拷贝了KV300或其它数据,用 户欲使用硬盘的上的 KV300 来检查该软盘有无病毒,而在 KV300 启动 过程中忘记插入正版 KV300 磁盘;
(4) KV300 L++ 拷贝在硬盘运行,在软驱里面插入了使用与MK300V4 相似的 方法制作加密的其它正版软件磁盘或其它加密磁盘;
(5) 驱动器或 KV300 正版磁盘出现不可预料的不稳定情况时;
(6) 其它非意料因素、未分析出的因素和未遇到的因素;
3,所使用的PC没有BIOS Virus Warning功能,或没有选择该功能, 或选择 该功能后在告警提示时选择了 Yes。
4,6月29日下载的L++版本 kv300laa.zip 317006 字节,在我们实验的样机 上仍然具有破坏作用,具体区别尚没有比较。
硬盘被袭击之后,通过通常的启动软盘和硬盘都无法直接引导计算机。
~~~~~~~~~~ 对技术分析的几点补充 ~~~~~~~~~~
在 6月25日到28日这三天里面,我们收到大量的来信,向我们通知通报或发 出求救,幸好,我们赶在王江民修改主页更换文件之前下载了 KV300 L++,后来 我们再次下载时文件已经不一样了,但我们实验仍然有破坏作用。
现在将初步结果通告如下:
由于清华 BBS板主 bluesea已经做了比较详细的分析,总共有三个网上的不 知名的朋友向我们转寄了这份分析。该分析我们又核查了一遍,我们表示认同。 因此相同的部分不再重复。
1,我们实验使用的PC只有一个3.5"软驱,仍然有破坏行为;
2,有很多计算机的 ROM BIOS SETUP 含有 Virus Warning (病毒告警)选项, 该选项 Enable 时,中断13h 将对一切改写引导扇区的操作做告警。经过实验, 运行 KV300 L++ 时,如果选择该选项,则会产生告警。如果选择 Yes 则计算机 遭破坏,否则可以避免罹难;我们实验的结果是 BIOS 将告警两次。
3,修改 IO.SYS的方法最早见于今年初在科大BBS 上的文章,是比较简单有 效的方法,我们已经制作成工具,可以在我们的网点下载,详细见后文;
4,重新引导硬盘的方法还可以参见科大病毒板板主Jun_Fang关于解决KV300 病毒的著名汇总,在我们的网点上可以下载(见下载页)。该文比较全但比较复杂, 不适合非计算机专业人士阅读;
5,关于数据恢复。我们初步分析了破坏状况,被破坏的 C:盘数据是有可能 逆转的。我们最后认定要等到对该程序进行跟踪和分析,并且完成实验之后。这 次江民炸弹事件与与今年 1月爆发的王江民的“KV300病毒”或 “发发发发变形 鬼魂”事件很相似。但是从BBS讨论看,上次数据可以恢复, 而这次由于江民炸 弹破坏硬盘分区表,因此,威胁更大。用 NDD 或其它类似工具有很大的盲目性。
~~~~~~~~~~~~ 关于王江民随后的文件更换 ~~~~~~~~~~~~
我们在 6月29日再次访问江民公司的网点时,发现文件已经变更。但仍然叫 做L++ ,我们经过实验,发现仍然有破坏作用。但具体有什么不同,尚没有比较。 在文件上比较是这样的:
6月25日下载的L++版本 kv300laa.zip 316832 字节
D:\BOMBTEST\KVLAA625>pkunzip -v kv300laa.zip ...... Length Method Size Ratio Date Time CRC-32 Attr Name ------ ------ ----- ----- ---- ---- -------- ---- ---- 452 DeflatN 184 60% 06-25-96 12:43 3973d461 --w- FILELIST.TXT 83316 DeflatN 82665 1% 06-23-97 05:53 b2c1be64 --w- KV300.EXE 1291 DeflatN 1262 3% 06-23-97 05:58 f401a527 --w- KV300FIX.EXE 13220 DeflatN 4604 66% 06-23-97 04:58 9c630a76 --w- VIRUS.DAT 13798 DeflatN 5205 63% 06-23-97 13:44 cafd0a90 --w- VIRUS-1.DAT 57066 DeflatN 23674 59% 06-23-97 09:52 9c97abdb --w- HELP 38111 DeflatN 8650 78% 06-23-97 05:28 064c7735 --w- VIRLIST.TXT 40161 DeflatN 38865 4% 06-23-97 23:58 12384975 --w- VIRLIST.EXE 79693 DeflatN 77387 3% 06-23-97 14:08 da21f852 --w- README.EXE 75695 DeflatN 73356 4% 06-23-97 14:16 8b01d3c7 --w- KV300G.EXE ------ ------ --- ------- 402803 315852 22% 10
6月29日下载的L++版本 kv300laa.zip 317006 字节
D:\BOMBTEST\KVLAA629>pkunzip -v kv300laa.zip ...... Length Method Size Ratio Date Time CRC-32 Attr Name ------ ------ ----- ----- ---- ---- -------- ---- ---- 452 DeflatN 184 60% 06-25-96 12:43 3973d461 --w- FILELIST.TXT 83316 DeflatN 82665 1% 06-23-97 05:53 b2c1be64 --w- KV300.EXE 1291 DeflatN 1262 3% 06-23-97 05:58 f401a527 --w- KV300FIX.EXE 13220 DeflatN 4604 66% 06-23-97 04:58 9c630a76 --w- VIRUS.DAT 13798 DeflatN 5205 63% 06-23-97 13:44 cafd0a90 --w- VIRUS-1.DAT 57066 DeflatN 23674 59% 06-23-97 09:52 9c97abdb --w- HELP 38111 DeflatN 8650 78% 06-23-97 05:28 064c7735 --w- VIRLIST.TXT 40161 DeflatN 38865 4% 06-23-97 23:58 12384975 --w- VIRLIST.EXE 79693 DeflatN 77387 3% 06-23-97 14:08 da21f852 --w- README.EXE 75695 DeflatN 73356 4% 06-23-97 14:16 8b01d3c7 --w- KV300G.EXE ------ ------ --- ------- 402803 315852 22% 10
------------ 1997.06.29 [] 【 在 shopping (傻平) 的大作中提到: 】 : 陈伟安:痛心疾首:我对王江民的信任和幻想把我害惨了!而且非常残酷! : (一个受王江民毒害的KV300正版用户) : http://sinoway.dnscentral.net/bbs/bbs1-2/messages/2508.html : 【编者按】我们痛心地看到一位误以为王江民技术高明而对 KV300无限 : 信任的用户陷入无限痛楚的境地。合法用户屡屡惨遭王江民袭击,这不 : 能不说是90年代中国软件行业的一个悲剧。法律,你的声音和力量在此 : 时显得何等的孱弱! : 消息发布者:陈伟安(一个受王江民毒害的KV300正版用户) : 发布时间: July 02, 1997 at 13:32:31 : 电话: 0775-2831948 : 传真: 0775-2831948 : 我是一个KV300的正版用户,以前对王江民还相当信任和理解, : 但在亲身经历了以下的严重事件后,我对王江民的恶劣品质有 : 了深刻认识!对他痛心疾首!希望我的教训对后来人有帮助。 : 我是一个计算机专业的本科毕业生,对计算机有相当认识和 : 理解,平时以分析程序、修理机器、上INTERNET网为乐---我 : 这次栽得非常厉害! : 1997年6月29日,我按往常的习惯,又到王江民的新网址 : 去下载KV300的升级版本(我从B版一直升到L版!)这次是L++ : 版。在K版开始,KV300就不能把下载得到的程序拷到KV300磁盘 : (正版)来使用了,必须在后面加上一个123参数才可运行(感谢 : 电脑报,我就是从这里的BBS得到这“秘密”的!)那时,我曾以 : 为我的正版KV300永远不能升级了呢!有了123参数,我又可以享 : 受KV300的升级了---虽然有点麻烦。我心里对王江民是又爱又恨, : 爱的是:KV300的杀毒功能非常强大。(写本稿时对这点我已经 : 不敢肯定了);恨的是:王江民怎么能这样对待我们这些老牌的 : KV300正版用户?!我可花了钱来购买KV300! : 这次我照例先把KV300正版磁盘插入A驱动器,在硬盘上运行刚 : 下载的L++版(没加123参数),哈,竟然成功了!看来L++版已 : 经改过了K版后的毛病!我在网上也看到不少有关王江民的传言, : 都是说他的坏话,我是半信半疑---我对他是很佩服的,因为在大 : 学读书时,我曾花了一天来分析KV100程序,看到里面的不少巧妙 : 的编程技巧,很高明!其中的反静态、反动态跟踪技巧给我留下 : 深刻印象:使用了几乎所有的手段,最厉害的是“动态生成程序” : 手段,我也无法再跟踪下去了!我知道自己的水平有限,但能碰 : 到KV100这样的编程者,我对王江民是非常佩服和理解的:为了 : 维护自己权益,用高明的反盗版技术是无可厚非的;他真是一个 : 编程高手!一个这样高明的程序员的杀毒软件应该是很好的,他 : 的人格也是令人佩服的!----各位,这就是我对王江民信任和理 : 解,这都是有理由的---一个聪明人利用他自己的才华来赚钱, : 无可厚非! : 在成功运行了L++版KV300后,我又尝试把自制的KEY盘(对 : L、L+版都有效)插进A:---我想看看它对L++版是否有效。敲 : 进正确命令后,A:盘灯亮,一会儿后,屏幕忽然提示:有写自举 : 扇区的操作,继续吗?(我的主板是有反病毒警告功能的,在程序 : 执行异常操作时会弹出警告。)我的硬盘是1G的,内容很多,我 : 不能冒险!我马上终止了程序运行。可是我的好奇心来了:L++ : 版的KV300想干什么呢?破坏我的硬盘自举扇区?对那些盗版用 : 户给予打击?为了弄清这个问题,我把硬盘卸掉再运行L++,发 : 现那个警告不见了,只是死机了。我明白了:它只对硬盘进行写 : 操作。当然,我自制KEY盘对L++是无效的。我把一个200M的备 : 用硬盘接上,先把它的主引导扇区备份(就算KV300破坏了,我 : 也可以修复它),再次运行L++,这次那个警告又出现了!---大 : 不了对硬盘重新分区,反正备用硬盘里面没什么重要数据---我敲 : 了两下“Y”键(它要对硬盘写两次),让L++版KV300对我的硬 : 盘进行写入操作。当时我没意识到:严重的事件已经发生了! : 写入后,还是死机。好了,该看看L++版对我的硬盘干了什 : 么事了!我冷启动后,发现用硬盘不能启动---哈,王江民居然 : 破坏得这么“厉害”,硬盘的主引导扇区已经给破坏了---真绝。 : 我这时还是很轻松:不过是破坏硬盘主引导扇区而已,我用备份 : 恢复就行了。但我对王江民这个人已经有点意见了:那些普通用 : 户不明所以没有准备,就给你害惨了!你这一招真毒。我把启动 : 盘插入A:,用A:盘启动机器,满怀信心地期待屏幕出现A:>, : 我就可以对我的硬盘进行“医疗”了!---我对这种事很在行。 : 出乎我的意料,机器还是不能启动:在出现了STARTING : MSDOS...这行字后就死机了,硬盘灯一直亮着。我又换了一张 : 启动盘重试一次,现象依旧。我有点慌了,王江民改写了CMOS? : 使每次启动总是先从硬盘启动?我马上把CMOS放电,重新设成A: : 先启动,再试一次,还是不能启动!我慌了:怎么办?软硬盘都 : 不能启动,一切“医疗”手段都无从下手! : 接下来我又干了一件蠢事:我把1G的硬盘也接了上去,把 : 200M的硬盘变成“从盘”。我希望这样能使我的机器启动后认识 : 200M硬盘,这样我就可以重新对它分区了。出乎意料,机器还是 : 不能启动!我在1G硬盘装的是WIN95系统,用WIN95的启动软盘 : 又启动一次,还是不行。我注意到死机时硬盘灯一直亮着:可能 : 王江民在200M硬盘上改写了一些信息代码,因为DOS系统在启动 : 时要获得有关硬盘的一些信息,读不出来就一直循环读。我相信 : 我的判断是对的,但怎么解决呢?有两条途径:低级格式化或改 : 写DOS系统内核程序,让它跳过启动时循环读硬盘信息的步骤。 : 我没时间分析DOS内核,就把我的200M硬盘低级格式化了---我 : 知道有一些硬盘是不允许低级格式化的,但我只好冒这个险了。 : (我当时还没有在电脑报的读者BBS看到有关的解决办法) : 我的主板没有低级格式化功能,我托一个朋友把我的200硬盘 : “低格”后,就又能正常使用了。 : 事情似乎解决了。但还没完呢!我发现我的1G的硬盘的中文 : WIN95不能进去了!我只是把它和200M的硬盘接在了一起而已! : 而已机器也未能启动,难道L++的“炸弹”也波及了我的1G硬盘?! : 我用SCANDISK扫描C:,发现了很多错误连接的文件---一定是 : L++干的“好事”!在这之前我的WIN95都好好的。我不敢重装 : WIN95---我的WIN95已经装了很多内嵌程序!我小心地花了两 : 个多小时把我原来WIN95的桌面和程序恢复成功,但有一些程序 : 还是要重新安装才行。我终于逃过了L++的“逻辑炸弹”! : 你会问:这一切的责任者是谁?我说:我的好奇心导致了我的 : 磨难,但最恶毒的是制造这“逻辑炸弹”的王江民!他用的手段 : 实在太过分了!一般的用户遇到同样问题后可能根本无法解决这 : 些破坏后果,数据不见了不说,可能还以为硬盘被永久毁坏了! : 事情过去了,但它使我看清了王江民的真面目,希望广大用 : 户引以为戒:王江民为了自己的利益,在L++版的KV300中埋藏有 : 厉害无比的最恶毒的“逻辑炸弹”!小心!小心! : 我对计算机安全法没研究,不知道王江民这样做是否触犯了 : 法律,是否该惩之以法?但我知道:象这种恶毒的手段是应该受 : 到社会一致谴责的!在病毒泛滥的今天,“杀毒”软件反过来 : 散布病毒,这不令人太心寒了吗?王江民的职业道德哪里去了?
-- 漫漫的银河,有千亿个星辰,发散出千亿种光芒 在这银河的一角,有个独一无二的野心,发散着独一无二的光芒。。。
※ 来源:·Netease BBS bbs.nease.net·[FROM: 202.96.185.228]
|
|