主題: 這病毒真牛：死了也要盜號(hào)

病毒為何叫死牛？聽(tīng)圈內(nèi)的朋友戲說(shuō)，是因?yàn)樗�死了都要“�！�，不入侵你電腦誓不罷休，多種途徑強(qiáng)行闖入，是一個(gè)人見(jiàn)人煩的惡性病毒，會(huì)下載各種盜號(hào)病毒，目標(biāo)直指用戶的各種賬號(hào)和密碼。

　　上周PDF漏洞爆發(fā)，由于漏洞官方補(bǔ)丁未能及時(shí)推出，不能自動(dòng)更新，被許多病毒盯上，其中就有死牛病毒（截至到發(fā)稿，官方自動(dòng)升級(jí)補(bǔ)丁還沒(méi)有推出）。死牛病毒是一個(gè)專門(mén)下載盜號(hào)病毒、關(guān)閉殺毒軟件的惡性病毒。“黑榜”一周收錄了與死牛病毒相關(guān)的掛馬網(wǎng)頁(yè)57個(gè)，而且還有逐漸增多的趨勢(shì)。

　　這樣一個(gè)惡性病毒會(huì)給用戶造成什么后果呢？這就要從它下載的盜號(hào)病毒說(shuō)起，它可以下載網(wǎng)游、網(wǎng)銀、QQ等多個(gè)類型的盜號(hào)病毒。假想一下，如果它下載的是盜取網(wǎng)銀的盜號(hào)病毒，當(dāng)你在網(wǎng)上銀行輸入賬號(hào)和密碼的時(shí)候，電腦中的盜號(hào)病毒就秘密地盜取了你的這些重要信息，你賬號(hào)中的資金就可能會(huì)展出一對(duì)“黑色的翅膀”，不翼而飛了。

　　許多朋友看了上期的文章，也安裝了臨時(shí)的PDF漏洞補(bǔ)丁，這下應(yīng)該沒(méi)有事情了吧？其實(shí)你安裝了臨時(shí)補(bǔ)丁，并也不意味著安全了。死牛病毒還有一招“殺手锏”，利用最新的MSO9-002漏洞，一個(gè)當(dāng)前非常受黑客青睞的掛馬漏洞，進(jìn)行掛馬傳播。如果你沒(méi)有打上MSO9-002漏洞補(bǔ)丁，還是逃不過(guò)死牛病毒的“魔掌”。

　　如果你長(zhǎng)期關(guān)注安全版，這下漏洞補(bǔ)丁早應(yīng)該打上了，但別以為這樣死牛病毒就進(jìn)不來(lái)了。平時(shí)用閃存吧！如果你電腦沒(méi)有關(guān)閉自動(dòng)播放功能，這個(gè)功能默認(rèn)是開(kāi)啟的，死牛病毒就會(huì)通過(guò)閃存進(jìn)入你的電腦。

　　病毒原理：死牛病毒進(jìn)入系統(tǒng)以后，會(huì)將自身文件釋放到臨時(shí)目錄，接著再加載到系統(tǒng)內(nèi)存中。病毒進(jìn)程往往以SafeSys（23）.exe的形式出現(xiàn)，其中括號(hào)中的數(shù)字是隨機(jī)生成的。病毒主文件SafeSys.exe會(huì)復(fù)制到所有磁盤(pán)的根目錄里面。之后，死牛病毒將破壞系統(tǒng)的注冊(cè)表，生成kvnad、stiva等服務(wù)，用來(lái)自啟動(dòng)。最后它就會(huì)利用ARP攻擊對(duì)局域網(wǎng)進(jìn)行破壞，下載其他盜號(hào)木馬。