昨天抓到的一只与“犇牛”有关的，全盘感染的病毒

5551551

全盘感染的，格式化，重装之后，扫描一下他的512的金士顿U盘，里面竟然揪出了130多个病毒。各盘下也有usb10.dll，肯定是和犇牛有关了，只是不知道这次我提取的样本有没有主犇牛病毒？

kingmuro

kingmuro

过pctools

saga3721

'TR/PSW.OnlineGames.usqa.1 [trojan]'
'TR/Dldr.Agent.bhyn.7 [trojan]'
'TR/Dropper.Gen [trojan]'

kingsheet

卡巴 检测到：木马程序 Trojan-Downloader.Win32.small.ajqm        URL: http://bbs.kafan.cn/attachment.p ... 237794313//20090322病毒/userinit.exe

5551551

“犇牛”作者曝光 曾因制作中华吸血鬼被捕
Tags: 犇牛 吸血鬼 中华 曝光 作者

转自360百科：http://baike.360.cn/4071464/21554959.html?recommend=1
在受害用户、安全厂商以及媒体的齐声喊打之下，牛年的“犇牛”木马却仍未停止作恶。截至2月15日，“犇牛”木马及其变种在360安全中心木马查杀榜仍高居榜首，日均查杀量始终在200万次以上，累计感染电脑量已接近200万台，俨然成为近一年来国内木马的“带头大哥”。

　　据360安全专家石晓虹博士介绍，“犇牛”的早期版本出现在去年8月份，还曾被黑客在博客中公开贩卖过。它的特点与一款名为“中华吸血鬼”的木马完全一致，两者的反汇编代码也具有很高的相似性，因此可以判断，“犇牛”是由获得‘中华吸血鬼’源代码的黑客改写，业内一般称之为‘中华吸血鬼’变种。

　　据了解，“中华吸血鬼”是由重庆市一个名为“黑网之神”的黑客所作，不仅打出“好病毒，中国造”的广告，更是扬言“饿死杀毒软件商”。不料他的如意算盘仅打了短短两个月，自己就因涉嫌制作、传播计算机病毒破坏性程序被当地警方抓捕，时间是2008年7月，“中华吸血鬼”的源代码却已流传在网络之中。

　　石晓虹博士表示：“以‘中华吸血鬼’源代码为蓝本改编的“犇牛”雏形当时并没什么威胁，不仅自我保护能力不强，传播量和处理的技术难度都很低，对一般的安全软件来说，基本上分析完样本后再入病毒库就可以解决。然而，在逐渐集成了‘“熊猫烧香”’、‘磁碟机’、‘机器狗’、‘AV终结者’等多种恶性木马下载器的技术后，爆发在牛年春节的‘犇牛’开始成为网络的最大危害。”

　　经过360安全中心的分析，“犇牛”在“中华吸血鬼”全局劫持dll文件、感染多种类型压缩文件的基础上，又综合了“熊猫烧香”在网页文件插入“网马”、局域网主动攻击等技术，此外还有“磁碟机”式自我更新、“AV终结者”式强制关闭面板控件、“机器狗”式穿透还原卡的驱动技术、U盘病毒的伪装和传播手段，同时融合多种木马的主流技术，而且“犇牛”还在进一步更新，加入其下载队伍的木马病毒也越来越多，其中又以能迅速将受害用户转化为收入的广告类木马为主，包括近期泛滥的“广告炸弹”木马，它频繁弹出伪造的“百度警告”，恐吓网民“电脑因感染超强木马将高温爆炸”，从而进行流氓式推广。石晓虹博士提醒广大网民不能轻易放松警惕，“犇牛”及其变种正在上演着最后的疯狂，妄图加紧狠捞一笔。国家计算机网络应急技术处理协调中心2月11日发布的《关于警惕“犇牛”木马下载器广泛传播的公告》指出，从2月1到10日已有66万个IP地址感染“犇牛”，号召受害网民参考使用360安全中心官方网站提供的专杀工具进行查杀。（公告链接：http://www.cert.org.cn/articles/ ... 2009021124201.shtml）

5551551

病毒名称：usp10.dll

(原指USP10.DLL是所谓的系统文件即C:\WINDOW\SYSTEM32和其根目录dllcache下的两个USP10.DLL，现在的犇牛木马病毒USP10.DLL，是指在大部分文件夹下被程序加载存在的USP10.DLL。)

这两个病毒杀软虽然都能查杀大部分，但是却总是死灰复燃，无法查杀赶紧是因为usp10.dll木马利用了系统进入目录都会读取thumbs.db的机会来执行恶意代码，而Windows目录下生成usp10.dll因为很多程序执行时都会调用系统的usp10.dll，调用的顺序->当前目录->Path指定目录。

然后就会调用到Windows下的usp10.dll，然后在各执行程序的当前目录生成usp10.dll，就这样一直复制下去，此时电脑会出现一些症状：

症状1.出现comres.dll的反复弹窗框；

症状2.接着出现trojan类病毒，结果下载了trojan病毒移除软件仍然不能去除；

症状3.造成语言栏丢失，不管怎么重装都不行，不得不格式化硬盘但效果没有；

症状4.发现有很多usp.dll文件；

症状5.一键恢复修改boot.ini启动文件，一键恢复不能进入DOS系统；

症状6.病毒很顽固总是杀不净；

症状7.关闭已运行的杀毒程序；

症状8.入侵gho文件使之变得不可用。

bengdan

趋势也报木马。。。

linqing

反病毒引擎 版本 最后更新 扫描结果 a-squared 4.0.0.101 2009.03.23 AhnLab-V3 5.0.0.2 2009.03.23 Win-Trojan/Downloader.7680.MI AntiVir 7.9.0.120 2009.03.22 TR/Dropper.Gen Authentium 5.1.2.4 2009.03.23 W32/Downloader-Sml!Eldorado Avast 4.8.1335.0 2009.03.23 Win32:Trojan-gen {Other} AVG 8.5.0.283 2009.03.22 Downloader.Generic8.ABPU BitDefender 7.2 2009.03.23 Trojan.Downloader.JLQN CAT-QuickHeal 10.00 2009.03.23 TrojanDownloader.Agent.bfex ClamAV 0.94.1 2009.03.23 Comodo 1080 2009.03.22 TrojWare.Win32.PSW.OnLineGames.~SDD DrWeb 4.44.0.09170 2009.03.23 Trojan.DownLoad.32916 eSafe 7.0.17.0 2009.03.19 Win32.TRDropper eTrust-Vet 31.6.6412 2009.03.23 F-Prot 4.4.4.56 2009.03.23 W32/Downloader-Sml!Eldorado F-Secure 8.0.14470.0 2009.03.23 Trojan-Downloader.Win32.small.ajqm Fortinet 3.117.0.0 2009.03.23 W32/Agent.BHYN!tr.dldr GData 19 2009.03.23 Trojan.Downloader.JLQN Ikarus T3.1.1.48.0 2009.03.23 Trojan-Downloader.Win32.Small K7AntiVirus 7.10.678 2009.03.21 Trojan-Downloader.Win32.small.ajqm Kaspersky 7.0.0.125 2009.03.23 Trojan-Downloader.Win32.small.ajqm McAfee 5561 2009.03.22 Downloader-BNM McAfee+Artemis 5561 2009.03.22 Downloader-BNM McAfee-GW-Edition 6.7.6 2009.03.22 Trojan.Dropper.Gen Microsoft 1.4502 2009.03.23 TrojanDownloader:Win32/Small.gen!AO NOD32 3953 2009.03.21 Win32/TrojanDownloader.Agent.OXK Norman 6.00.06 2009.03.20 W32/DLoader.NXGF nProtect 2009.1.8.0 2009.03.23 Panda 10.0.0.10 2009.03.22 Trj/Downloader.VNW PCTools 4.4.2.0 2009.03.22 Prevx1 V2 2009.03.23 Medium Risk Malware Rising 21.22.01.00 2009.03.23 Trojan.Win32.KillAV.axt Sophos 4.39.0 2009.03.23 Troj/Agent-JGU Sunbelt 3.2.1858.2 2009.03.22 Trojan-Downloader.Win32.small.ajqm Symantec 1.4.4.12 2009.03.23 Infostealer.Onlinegame TheHacker 6.3.3.4.287 2009.03.23 Trojan/Downloader.small.ajqm TrendMicro 8.700.0.1004 2009.03.23 TROJ_DLOADER.WQH VBA32 3.12.10.1 2009.03.23 Trojan-Downloader.Win32.small.ajqm ViRobot 2009.3.23.1659 2009.03.23 VirusBuster 4.6.5.0 2009.03.22 Rootkit.Biosavp.Gen

0.......................

seasong

RIS 21.31.02 可杀