一、“usp10.dll”木马病毒(又称猫癣、犇牛病毒)
360称为犇牛,金山毒霸命名为猫癣。现象:硬盘中大量出现usp10.dll文件,电脑速度变慢,杀毒软件不能开启,迅雷不能开启,占用大量虚拟内存,进程中出现大量数字进程(也可能有其它可疑进程),下载大量其它木马,盗取帐号,重装系统后仍反复感染,难以清除。目前已有变种出现。
二、系统文件usp10.dll
USP是Unicode Scripts Processor的简称,意思就是“Unicode文字系统处理器”。它是微软开发的Windows作业系统为正确演示Unicode文字而开发的组件,系统的核心即一个名为USP10.DLL的DLL。它从Windows 2000开始连同Windows一起捆绑,Win 9x的用户在更新至Internet Explorer 5.0之后,系统亦会安装有本组件。USP的当前最新版本是随同Windows Server 2008 RTM、Windows Vista SP1等所附带的1.626.6001.18000。
正常的系统文件USP10.dll是字符显示脚本应用程序接口相关文件,存在于C:\WINDOWS\system32\USP10.dll,大小约400K,也有可能存在于C:\WINDOWS\system32\dllcache\USP10.dll。
usp10.dll木马病毒则是利用window系统目录优先权来启动。(目录优先权,windows系统在执行一个文件时,首先会在“当前目录”查找所要执行的文件,如果当前目录不存在这个文件,就会到windows\system32\下去查找,如果还是不存在,就会到windows\目录下去查找,如果还是不存在就会在环境变量PATH中的目录下去查找,这个就是windows目录优先权。)因此USP10.dll病毒会把自身大量复制到每个可执行文件同目录下,甚至替换正常的系统文件usp10.dll,该病毒文件目前大小约几十K(因为有变种,大小可能会有不同)。
附金山的猫癣病毒完整分析报告:
一、现象描述:
1 感染“猫癣下载器”的电脑速度会明显变慢,杀毒软件反复提示发现病毒不能完全清除
2 非系统盘的可执行文件文件目录发现“usp10.dll”文件
3 部分用户的电脑感染猫癣下载器会出现弹出大量广告页面、“QQ医生”扫描功能无法正常使用,迅雷不能正常使用等各种症状,
4 部分用户查毒以后将导致输入法无法正常使用
5 QQ,网游游戏账号被盗
二、行为描述:
1、对抗安全软件
1) 病毒通过给进程照相对比的方式找到以下软件的进程然后调用windows TerminateProcess函数尝试将其结束。
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe2) 调用360保险箱自带卸载参数卸载保险箱,并修改注册表关闭360安全卫士的实时监控
遍历当前进程,发现存在"safeboxTray.exe"进程,获取其文件路径,并以"/u"参数打开"safeboxTray.exe"进程,"/u"参数是其自带的卸载参数。
修改注册表
HKLM\SOFTWARE\360Safe\safemon
"MonAccess" REG_DWORD 0
"SiteAccess" REG_DWORD 0
"ExecAccess" REG_DWORD 0
"ARPAccess" REG_DWORD 0
"weeken" REG_DWORD 0
"IEProtAccess" REG_DWORD 0
"LeakShowed" REG_DWORD 0
"UDiskAccess" REG_DWORD 03) 创建线程关闭icesword之类的安全软件的窗口
病毒检查当前窗口的class(类)是否为"AfxControlBar42s",如果是则向此窗口发送WM_CLOSE(关闭消息)消息,并模拟键盘的回车键点击“是”。
2、破坏系统设置
1) 替换下载并替换HOSTS文件,从而屏蔽竞争对手的木马下载域名
下载hxxp://txt.naiws.com/ad.jpg,保存到%sys32dir%\drivers\ect\hosts文件
2) 更改显示隐藏文件,使得病毒释放的部分文件不被用户发现
修改以下注册表键值,来隐藏文件
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" REG_DWORD 0
"SuperHidden" REG_DWORD 0
"ShowSuperHidden" REG_DWORD 03) 添加对迅雷的映像劫持(IFEO),感染后不能正常使用迅雷
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe
"Debugger" REG_SZ "svchost.exe"3、病毒不断复活,难以清除
1) 猫癣下载器使用机器狗的穿还原的技术修改ctfmon.exe(此程序用先是当前输入法状态),若此文件被杀毒软件查杀,则用户不能切换输入法输入中文
2) 猫癣下载器,使用了劫持dll文件的方式,在所有非系统盘的可执行文件所在目录释放大量“usp10.dll”文件,当用户发现电脑“中招以后”即使进行重新安装,却因为这个马甲dll没有被清除导致再度感染
3) 猫癣下载器在局域网中会尝试使用扫荡波(ms08-67)漏洞攻击局域网的用户,若用户没有及时修补扫荡波漏洞将可能反复被感染
4) 由于很多网站安全意识薄弱,恶意代码被轻松植入,猫癣下载器借IE0day漏洞,flashplayer,realpaly,迅雷5,暴风影音,联众世界,微软access漏洞等漏洞在网络广泛传播,用户访问网页的时候就有可能再次感染病毒
4、猫癣下载器给电脑带来的危害
猫癣下载器下载针对魔兽世界、大话西游onlineII、剑侠世界、完美系列游戏、梦幻西游、魔域等十余款热门网游、以及QQ的盗号木马,企图盗窃受害用户网络虚拟财产
三、清除方法
首先,如果已经重新安装系统,装完系统后千万不要碰电脑上其它硬盘分区上的文件,直接安装杀软杀毒。手动清除方法是进入安全模式,搜索并删除所有盘下所有目录中的thumbs.db、 usp10.dll(搜索时要包含隐藏文件:点击更多高级选项-勾选搜索搜索隐藏的文件和文件夹)。注意通过文件大小、文件日期区别usp10.dll正常与病毒文件。(此病毒利用了系统进入目录都会读取thumbs.db的机会来执行恶意代码,以及上面说的window系统目录优先权利用usp10.dll来启动病毒。注:可以更改文件夹选项-查看-不缓存缩略图,来避免生成thumbs.db。)最后记得把被病毒替换的system32下的usp10.dll恢复(用正常文件覆盖)。如果你在之前没有重装系统,一定要注意到注册表中删除相关IFEO映像劫持项(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options),不然你的杀毒软件仍然不能运行。仍然推荐在全做完后要用杀毒软件、杀木马软件全盘扫描一下,因为以上清除的只是usp10.dll自身病毒,而它下载的其它病毒、木马却还在,需要另外处理,同时也要删除一下临时文件、IE缓存,清除这些病毒木马的藏身地。
另外有的还有一个psapi.dll,也是系统文件被病毒替换,被病毒利用原理与处理方法类似上面的usp10.dll,注意它的正常大小只有十几K。
附微点提供的手工处理方法:
步骤一、开机按F8进入安全模式,然后调出系统的任务管理器,结束ctfmon.exe进程;
步骤二、使用u盘到其他正常主机系统下拷贝c:\windows\system32\ctfmon.exe、c:\windows\system32\drivers\beep.sys,然后插入中毒主机的安全模式系统下,把文件同时拷贝到c:\windows\system32\和c:\windows\system32\dllcache\目录下替换原文件;
步骤三、开始运行输入regedit打开
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\找到Hidden项修改值为1,SuperHidden项修改值为0,ShowSuperHidden项修改值为1;
步骤四、打开资源管理器,对硬盘进行全盘搜索usp10.dll(文件类型所有文件和文件夹),把搜索结果中除系统盘符目录的其他盘符目录下所有usp10.dll进行手工删除处理;
步骤五、重复步骤四搜索oiiuasdfh.dll文件进行手工删除处理;
步骤六、清空系统和IE临时文件目录下所有文件,并清空c:\windows\system32\drivers\etc\host文件内容。
四、更多参考及清理工具:
http://www.micropoint.com.cn/NewVirus/newvirus/20090203165821.html
http://www.duba.net/zt/2009/usp10/
http://bbs.ikaka.com/showtopic-8589597.aspx
http://bbs.ikaka.com/showtopic-8593481.aspx
http://baike.360.cn/4005462/20878800.html
http://www.2000xg.com/article.asp?id=976
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/241.html
