close
資料來源:金山毒霸社區 http://bbs.duba.net/thread-22020407-1-1.html 痛痛快快过了一段不能上网的日子,上班头一天发现很多人在问usp10.dll是什么。在cmd窗口中执行tasklist /m usp10.dll,你会发现很多程序在调用usp10.dll 显然,usp10.dll是系统文件,正常情况下你会在windows\system32目录和windows\system32\dllcache目录发现usp10.dll。 应用程序通常是在当前目录和环境变量“set path=”指定的路径下寻找再调用DLL文件,春节期间很多网友在桌面或其它文件夹下发现了usp10.dll,这就是病毒做的手脚,病毒想做的就是 ——当你希望执行当前目录下的EXE程序时,病毒文件USP10.DLL会被加载。 这个病毒春节间已经被毒霸捕获过,是一个类似超级AV终结者的木马下载器,因为到处都是,被命名为“猫癣下载器”,目前发现这个东西的变种仍在持续更新中。已经中毒的用户推荐你使用金山系统急救箱和猫癣病毒专杀来解决 下载地址: 金山系统急救箱 http://bbs.duba.net/thread-21989211-1-1.html 山寨版猫癣专杀 http://bbs.duba.net/thread-22018390-1-1.html 以下是其中一个变种的分析报告,供参考 一、样本概述 1.1 基本信息 样本文件名:sample_496E01.v 病毒名:Win32.Troj.DropRootKit.a.143360 (毒霸) 类型:下载者 1.2 释放文件 %windir%\jiocs.dll %windir%\Tasks\1 %tmp%\98989898 %sys32dir%\sadfasdf.jpg %sys32dir%\ctfmon.exe 注:%windir% 对应于 C:\windows %sys32dir%对应于C:\windows\system32 二、病毒行为 2.1 释放usp10.dll挟持常用软件 遍历非系统所在目录的所有驱动器,凡发现目录中存在exe后缀的文件,则将%windir%\tasks\1文件拷贝过去,命名为usp10.dll。牢牢抓住普通用户的使用习惯,导致即使重装系统病毒还会重新启动 2.2 调用TerminateProcess 结束安全软件的驻留进程,列表如下 kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe rfwmain.exe rfwstub.exe rfwsrv.exe 2.3 添加对迅雷的映像劫持使迅雷无法启动,具体如下: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\Thunder5.exe "Debugger" REG_SZ "svchost.exe" 2.4 调用360保险箱卸载参数卸载360保险箱。并通过修改注册表关闭360监控 2.5 创建线程关闭冰刃之类的安全软件窗口和更改显示隐藏文件 若当前窗口的class为"AfxControlBar42s",则向此窗口发送WM_CLOSE消息,并模拟键盘的回车键。 修改以下注册表键值,来不显示隐藏文件 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden" REG_DWORD 0 "SuperHidden" REG_DWORD 0 "ShowSuperHidden" REG_DWORD 0 2.6 释放病毒启动,并尝试直接替换输入法程序ctfmon.exe 2.7 下载大量盗号木马病毒到用户电脑 |
全站熱搜
留言列表
