安全公告：CN-SA09-002

发布日期：2009年2月11日

事件类型：病毒

威胁评估： 高

受影响的软件：

Windows 操作系统

事件描述：

    牛年春节刚过，一款名为“犇（bēn）牛”的恶性木马下载器开始广泛传播。据国家互联网应急中心（CNCERT/CC）监测发现，从2009年2月1到10日已有66万个IP地址感染“犇牛”该木马，且感染主机大部分位于我国境内，用于控制感染主机的控制服务器也位于境内。

    "犇牛"属于网络病毒，采用劫持dll文件技术，使得感染"犇牛"的计算机系统，在非系统盘的根目录及所有文件夹目录中同时出现"usp10.dll"或“wsock32.dll”文件。有些计算机系统会出现弹出大量广告网页、或所安装杀毒软件遭到强制卸载、或频繁弹出“虚拟内存不足”的提示、系统速度明显变慢等症状。而且该网络病毒会阻止受害计算机访问主要网络安全厂商和反病毒厂商的网站，并能导致迅雷等下载软件失效，使其无法通过登陆安全网站或下载安全软件。该病毒通过下载针对诛仙、魔兽世界、问道等十余款热门网游、QQ以及网上银行的盗号木马，盗窃用户网游及网上银行的帐号和密码。目前，"犇牛"病毒已出现新变种，并通过把下载的木马文件插入网页和RAR压缩文件、增加木马下载的种类等方式，加强该病毒的传播能力。

    通过对“犇牛”的代码分析，CNCERT/CC掌握了该病毒的部分控制服务器及升级服务器使用的域名和对应IP，并将协调相关单位根据有关法律和规章采取清理措施。

    在此，CNCERT/CC提醒广大用户及时采取相应防范措施，避免遭到该网络病毒的侵害并被不法黑客利用。

防范措施：

开启Windows自动更新，及时打好各种漏洞补丁。

用户应尽可能只访问安全管理工作较好的网站；

用户应谨慎打开在邮件、论坛、聊天工具中收到的网页链接或XML文件；

安装杀毒软件，并及时下载更新。

病毒查杀方法

用户可通过检查计算机中是否藏有“usp10.dll”或“wsock32.dll”文件来简单判断是否已经感染。也可参考使用360安全中心官方网站提供的专杀工具来查杀。

参考资料：

http://www.360.cn/killer/360compkill.html