複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/犇牛/16567657
複製
複製成功

犇牛

(犇牛木馬)

鎖定
“犇牛”是2009年大肆作惡的惡性木馬下載器名稱。是2009年2月3日360安全中心首先發現這一最新複合攻擊型木馬並命名為“犇牛”。
中文名
犇牛
所屬類別
木馬
出現時間
2009年2月3日

目錄

  1. 1 產生經過
  2. 2 發作表現
  1. 3 病毒成因
  2. 4 技術分析
  1. 5 解決方法
  2. 6 始作俑者

犇牛產生經過

2009年春節剛過,大量網友發現自己的電腦突然間慢如“老牛”,硬盤中同時出現了很多莫名其妙的“usp10.dll”文件,即便重裝系統也無濟於事,並能導致大部分安全軟件失效,用重裝系統等常規手段無法清理。360安全中心的統計數據顯示已有數十萬台電腦受到“犇牛”襲擊,以成為牛年首“牛”的木馬。360 安全中心2009年2月3日緊急發佈了新的“360頑固木馬專殺大全”,能夠將它徹底查殺。

犇牛發作表現

2006年爆發的“機器狗木馬,使人們一度談“狗”色變;2008年年初肆虐的“母馬下載器”,也讓網民説“馬”心寒。“牛頭馬面”形影不離為作惡,而木馬製作者做“牛”做“馬”,則皆為偷財。2009年春節剛過,數十萬台電腦向360安全中心反映電腦速度明顯變慢,非系統盤的根目錄及所有文件夾目錄中同時出現“usp10.dll”文件。部分用户的電腦還會出現彈出大量廣告網頁、殺毒軟件遭強制卸載、“QQ醫生”顯示為“叉號”無法正常使用等各種症狀,並會自動下載大量木馬病毒。受害用户除非將所有硬盤分區全盤格式化,否則即便重裝系統後還是如初。這些都是“犇牛”惡性木馬突然爆發的結果。

犇牛病毒成因

新春長假歷來是木馬病毒的“創新”高峯,一來網遊市場因學生放假而格外活躍,孩子們鼓鼓囊囊的“壓歲錢”自然被不法分子盯上;二來為數極少的大學生甚至高中生本身就是木馬作者,放假期間空閒時間更為充裕,出於“好玩、試試看”的心理或受到盜號團伙蠱惑而編寫木馬病毒程序。故而2009年初有數十萬台電腦受到“犇牛”襲擊。

犇牛技術分析

360安全專家石曉虹博士介紹:“犇牛”木馬下載器之所以成為牛年首“牛”的木馬,是因其擁有“系統重裝復活”、“系統文件掩護”以及“逆向卸載殺軟”等三大“牛”招,能令大部分安全軟件失效,從而危害性大大提升。
“犇牛”採用了劫持dll文件的技術,在系統重裝後仍能“復活”,完全不同於其它惡性木馬常用的“復活”方式,使普通用户很難用以往的系統重裝方式來“自救”;“犇牛”非常陰險地將某個系統文件悄悄替換,使殺毒軟件的常規查殺技術失效,進一步增強了自我保護能力;“犇牛”還使用了一個名為 “安軟殺手”的幫兇對主流殺軟進行卸載和破壞,屏蔽安全廠商的網站,並能導致迅雷下載軟件失效,致使受害用户無法通過登陸安全網站或下載安全軟件獲得幫助。
通過以上三種手段,“犇牛”得以突破用户電腦防禦體系,並通過進一步下載針對誅仙、魔獸世界、問道等十餘款熱門網遊、QQ以及網上銀行的盜號木馬,完成對受害用户電腦中虛擬財富的盜竊。其實劫持“usp10.dll”文件的木馬早在2008年就已出現,但“犇牛”下載器不僅具有“系統重裝復活”的本領,還使出了“系統文件掩護”與“逆向卸載殺軟”兩大“牛”招,公開向安全軟件宣戰,因而360安全中心將這一最新複合攻擊型木馬命名為“犇牛”木馬下載器

犇牛解決方法

犇牛 犇牛
為幫助受害用户儘快擺脱“犇牛”的侵害,360安全中心2009年2月3日緊急發佈了新的“360頑固木馬專殺大全”,能夠將它徹底查殺。360安全專家石曉虹博士提醒用户參考如下方案處理:
一、查驗非系統盤(一般為D、E等硬盤分區)及其中的各文件夾目錄,如普遍存在usp10.dll文件,需儘快下載最新版的360頑固木馬專殺大全,在聯網狀態下啓用“強力掃描查殺”模式進行查殺並重啓。
二、開啓360安全衞士的自我保護,並進行木馬惡評插件的掃描,清除可能存在的殘留項。
三、在將包括數碼產品在內的任何移動存儲介質連接電腦前,請先確認360安全衞士“實時保護”中U盤防火牆功能已經開啓,並推薦使用360安全瀏覽器,可以使您的電腦自動屏蔽惡意網站和智能攔截網頁惡意代碼,將中招的概率降到最低。

犇牛始作俑者

為幫助中招網友儘快擺脱“犇牛”的侵擾,360安全中心緊急推出了最新版的“360頑固木馬專殺大全”,使中招用户無需將硬盤全盤格式化就能將其徹底查殺。同時,360安全專家石曉虹博士提醒網友,在將包括數碼產品在內的任何移動存儲介質連接電腦前,請先確認電腦中是否已安裝了360安全衞士等具有U盤防火牆功能的安全軟件,並推薦使用360安全瀏覽器等具有防掛馬功能的瀏覽器產品,將中招的概率降到最低。
360安全中心獲悉,2009年以來肆掠互聯網的網絡病毒“犇牛”始作俑者曝光。據360安全專家石曉虹博士介紹,“犇牛”的早期版本與一款名為“中華吸血鬼”的木馬完全一致,由此可以斷定“犇牛”是由獲得‘中華吸血鬼’源代碼的黑客改寫。
據介紹,“中華吸血鬼”是由重慶市一個名為“黑網之神”的黑客所作,不僅打出“好病毒,中國造”的廣告,更是揚言“餓死殺毒軟件商”。不料他的如意算盤僅打了短短兩個月,自己就因涉嫌製作、傳播計算機病毒破壞性程序被當地警方抓捕,時間是2008年7月,“中華吸血鬼”的源代碼卻已流傳在網絡之中。
石曉虹博士表示:“以‘中華吸血鬼’源代碼為藍本改編的“犇牛”雛形當時並沒什麼威脅,不僅自我保護能力不強,傳播量和處理的技術難度都很低,對一般的安全軟件來説,基本上分析完樣本後再入病毒庫就可以解決。然而,在逐漸集成了‘熊貓燒香’、‘磁碟機’、‘機器狗’、‘AV終結者’等多種惡性木馬下載器的技術後,爆發在牛年春節的‘犇牛’開始成為網絡的最大危害。”
國家計算機網絡應急技術處理協調中心2月11日發佈的《關於警惕“犇牛”木馬下載器廣泛傳播的公告》指出,從2月1到10日已有66萬個IP地址感染“犇牛”,號召受害網民參考使用360安全中心官方網站提供的專殺工具進行查殺。 [1] 
參考資料