主題: 這病毒真牛：死了也要盜號

病毒為何叫死牛？聽圈內(nèi)的朋友戲說，是因為它死了都要“�！�，不入侵你電腦誓不罷休，多種途徑強(qiáng)行闖入，是一個人見人煩的惡性病毒，會下載各種盜號病毒，目標(biāo)直指用戶的各種賬號和密碼。

　　上周PDF漏洞爆發(fā)，由于漏洞官方補(bǔ)丁未能及時推出，不能自動更新，被許多病毒盯上，其中就有死牛病毒（截至到發(fā)稿，官方自動升級補(bǔ)丁還沒有推出）。死牛病毒是一個專門下載盜號病毒、關(guān)閉殺毒軟件的惡性病毒。“黑榜”一周收錄了與死牛病毒相關(guān)的掛馬網(wǎng)頁57個，而且還有逐漸增多的趨勢。

　　這樣一個惡性病毒會給用戶造成什么后果呢？這就要從它下載的盜號病毒說起，它可以下載網(wǎng)游、網(wǎng)銀、QQ等多個類型的盜號病毒。假想一下，如果它下載的是盜取網(wǎng)銀的盜號病毒，當(dāng)你在網(wǎng)上銀行輸入賬號和密碼的時候，電腦中的盜號病毒就秘密地盜取了你的這些重要信息，你賬號中的資金就可能會展出一對“黑色的翅膀”，不翼而飛了。

　　許多朋友看了上期的文章，也安裝了臨時的PDF漏洞補(bǔ)丁，這下應(yīng)該沒有事情了吧？其實你安裝了臨時補(bǔ)丁，并也不意味著安全了。死牛病毒還有一招“殺手锏”，利用最新的MSO9-002漏洞，一個當(dāng)前非常受黑客青睞的掛馬漏洞，進(jìn)行掛馬傳播。如果你沒有打上MSO9-002漏洞補(bǔ)丁，還是逃不過死牛病毒的“魔掌”。

　　如果你長期關(guān)注安全版，這下漏洞補(bǔ)丁早應(yīng)該打上了，但別以為這樣死牛病毒就進(jìn)不來了。平時用閃存吧！如果你電腦沒有關(guān)閉自動播放功能，這個功能默認(rèn)是開啟的，死牛病毒就會通過閃存進(jìn)入你的電腦。

　　病毒原理：死牛病毒進(jìn)入系統(tǒng)以后，會將自身文件釋放到臨時目錄，接著再加載到系統(tǒng)內(nèi)存中。病毒進(jìn)程往往以SafeSys（23）.exe的形式出現(xiàn)，其中括號中的數(shù)字是隨機(jī)生成的。病毒主文件SafeSys.exe會復(fù)制到所有磁盤的根目錄里面。之后，死牛病毒將破壞系統(tǒng)的注冊表，生成kvnad、stiva等服務(wù)，用來自啟動。最后它就會利用ARP攻擊對局域網(wǎng)進(jìn)行破壞，下載其他盜號木馬。