25日,360安全卫士官方微博发布了一篇名为【警惕:越狱工具遭第三方恶意篡改植入木马,会导致系统崩溃】的文章,文章指出一个名为XYPanGu.dll文件与XY越狱助手有相同的文件名,经盘古越狱团队转发后误导网友矛头指向XY越狱助手。XY越狱助手与植入木马病毒毫无干系,该事件是一起恶意事件,某些别有用心的个人或团体利用相同名字的模块来迷惑不知情的用户达到诋毁诽谤的目的,为此,XY苹果助手技术负责人做出如下官方说明:
文章中报毒的图片信息:
首先让我们打开电脑上的xy越狱助手目录如下:
的确有一个叫做XYPanGu.dll的文件 但是除此之外其他的文件却对不太上了,XY助手可执行文件 evasi0n7_1.exe 我们来启动下程序看看
使用大名鼎鼎的动态调试器 OllyDbg 附加程序:
从程序启动后的模块中可以看到 除了系统和第三方的dll xy越狱助手只有evasi0n7_1.exe和XYPanGu.dll 两个模块文件, 却并没有盘古越狱.exe这个文章中说的病毒文件 但是有一个叫做XYPanGu.dll的模块名称是一样的。
我们来看下病毒的位置:
病毒位置于b60007处进行了一个跳转 在结合下面的图片调用ZwWriteFile来进行写入磁盘。
那我们来搜索下xy越狱助手 这个文章中同名的报毒模块XYPanGu.dll中是否能够搜索到这图片中所说的4行代码
pop ebx
Inc dword ptr ds:[esp]
jmp 00b50000
add byte ptr ds:[eax],al
其实如果稍微细心些的话可以发现 XY助手加载XYPanGu.dll 和病毒加载XYPanGu.dll 的加载地址是完全不一样的,所以其实不用搜也知道找不到 ,不过我们为了更谨慎些 我们来去掉jmp 00b50000 带有固定跳转位置的代码在试试:
pop ebx
Inc dword ptr ds:[esp]
和
add byte ptr ds:[eax],al
经查找结果依然找不到相应的代码,有兴趣的朋友可以再网上搜索一下这个工具来进行测试。在结合之前的病毒盘古越狱.exe可以判定是另外一个软件起了一个叫XYPanGu.dll 的模块名字来迷惑不知情的用户达到诋毁XY越狱助手的目的。
在此提郑重说明:
XY越狱助手是一款无恶意插件、无木马、无病毒、无后台的绿色软件,请大家放心使用!XY苹果助手团队的出发点是为用户提供更好的产品体验,我们会一直以此目标坚持和努力!
|
