“牛”是2009年大肆作恶的恶性木马下载器名称。是2009年2月3日360安全中心首先发现这一最新复合攻击型木马并命名为“犇牛”。

2009年春节刚过，大量网友发现自己的电脑突然间慢如“老牛”，硬盘中同时出现了很多莫名其妙的“usp10.dll”文件，即便重装系统也无济于事，并能导致大部分安全软件失效，用重装系统等常规手段无法清理。360安全中心的统计数据显示已有数十万台电脑受到“犇牛”袭击，以成为牛年首“牛”的木马。360 安全中心2009年2月3日紧急发布了新的“360顽固木马专杀大全”，能够将它彻底查杀。

2006年爆发的“机器狗”木马，使人们一度谈“狗”色变；2008年年初肆虐的“母马下载器”，也让网民说“马”心寒。“牛头马面”形影不离为作恶，而木马制作者做“牛”做“马”，则皆为偷财。2009年春节刚过，数十万台电脑向360安全中心反映电脑速度明显变慢，非系统盘的根目录及所有文件夹目录中同时出现“usp10.dll”文件。部分用户的电脑还会出现弹出大量广告网页、杀毒软件遭强制卸载、“QQ医生”显示为“叉号”无法正常使用等各种症状，并会自动下载大量木马病毒。受害用户除非将所有硬盘分区全盘格式化，否则即便重装系统后还是如初。这些都是“犇牛”恶性木马突然爆发的结果。

新春长假历来是木马病毒的“创新”高峰，一来网游市场因学生放假而格外活跃，孩子们鼓鼓囊囊的“压岁钱”自然被不法分子盯上；二来为数极少的大学生甚至高中生本身就是木马作者，放假期间空闲时间更为充裕，出于“好玩、试试看”的心理或受到盗号团伙蛊惑而编写木马病毒程序。故而2009年初有数十万台电脑受到“犇牛”袭击。

360安全专家石晓虹博士介绍：“犇牛”木马下载器之所以成为牛年首“牛”的木马，是因其拥有“系统重装复活”、“系统文件掩护”以及“逆向卸载杀软”等三大“牛”招，能令大部分安全软件失效，从而危害性大大提升。

“犇牛”采用了劫持dll文件的技术，在系统重装后仍能“复活”，完全不同于其它恶性木马常用的“复活”方式，使普通用户很难用以往的系统重装方式来“自救”；“犇牛”非常阴险地将某个系统文件悄悄替换，使杀毒软件的常规查杀技术失效，进一步增强了自我保护能力；“犇牛”还使用了一个名为“安软杀手”的帮凶对主流杀软进行卸载和破坏，屏蔽安全厂商的网站，并能导致迅雷等下载软件失效，致使受害用户无法通过登陆安全网站或下载安全软件获得帮助。

通过以上三种手段，“犇牛”得以突破用户电脑防御体系，并通过进一步下载针对诛仙、魔兽世界、问道等十余款热门网游、QQ以及网上银行的盗号木马，完成对受害用户电脑中虚拟财富的盗窃。其实劫持“usp10.dll”文件的木马早在2008年就已出现，但“犇牛”下载器不仅具有“系统重装复活”的本领，还使出了“系统文件掩护”与“逆向卸载杀软”两大“牛”招，公开向安全软件宣战，因而360安全中心将这一最新复合攻击型木马命名为“犇牛”木马下载器。

为帮助受害用户尽快摆脱“犇牛”的侵害，360安全中心2009年2月3日紧急发布了新的“360顽固木马 专杀大全”，能够将它彻底查杀。360安全专家石晓虹博士提醒用户参考如下方案处理：

一、查验非系统盘（一般为D、E等硬盘分区）及其中的各文件夹目录，如普遍存在圣保罗大学10.dll文件，需尽快下载最新版的360顽固木马专杀大全，在联网状态下启用“强力扫描查杀”模式进行查杀并重启。

二、开启360安全卫士的自我保护，并进行木马及恶评插件的扫描，清除可能存在的残留项。

三、在将包括数码产品在内的任何移动存储介质连接电脑前，请先确认360安全卫士“实时保护”中U盘防火墙功能已经开启，并推荐使用360安全浏览器，可以使您的电脑自动屏蔽恶意网站和智能拦截网页恶意代码，将中招的概率降到最低。

为帮助中招网友尽快摆脱“犇牛”的侵扰，360安全中心紧急推出了最新版的“360顽固木马专杀大全”，使中招用户无需将硬盘全盘格式化就能将其彻底查杀。同时，360安全专家石晓虹博士提醒网友，在将包括数码产品在内的任何移动存储介质连接电脑前，请先确认电脑中是否已安装了360安全卫士等具有U盘防火墙功能的安全软件，并推荐使用360安全浏览器等具有防挂马功能的浏览器产品，将中招的概率降到最低。

从360安全中心获悉，2009年以来肆掠互联网的网络病毒“犇牛”始作俑者曝光。据360安全专家石晓虹博士介绍，“犇牛”的早期版本与一款名为“中华吸血鬼”的木马完全一致，由此可以断定“犇牛”是由获得‘中华吸血鬼’源代码的黑客改写。

据介绍，“中华吸血鬼”是由重庆市一个名为“黑网之神”的黑客所作，不仅打出“好病毒，中国造”的广告，更是扬言“饿死杀毒软件商”。不料他的如意算盘仅打了短短两个月，自己就因涉嫌制作、传播计算机病毒破坏性程序被当地警方抓捕，时间是2008年7月，“中华吸血鬼”的源代码却已流传在网络之中。

石晓虹博士表示：“以‘中华吸血鬼’源代码为蓝本改编的“犇牛”雏形当时并没什么威胁，不仅自我保护能力不强，传播量和处理的技术难度都很低，对一般的安全软件来说，基本上分析完样本后再入病毒库就可以解决。然而，在逐渐集成了‘熊猫烧香’、‘磁碟机’、‘机器狗’、‘AV终结者’等多种恶性木马下载器的技术后，爆发在牛年春节的‘犇牛’开始成为网络的最大危害。”

国家计算机网络应急技术处理协调中心2月11日发布的《关于警惕“犇牛”木马下载器广泛传播的公告》指出，从2月1到10日已有66万个IP地址感染“犇牛”，号召受害网民参考使用360安全中心官方网站提供的专杀工具进行查杀。