病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 使用regini.exe修改注册表及注册表权限链接文件msvcirt.dll到不存在的输出msvcrt.dll »

“usp10.dll”木马病毒(又称猫癣、犇牛、输入法杀手)

一、“usp10.dll”木马病毒(又称猫癣、犇牛病毒)

  360称为犇牛,金山毒霸命名为猫癣。现象:硬盘中大量出现usp10.dll文件,电脑速度变慢,杀毒软件不能开启,迅雷不能开启,占用大量虚拟内存,进程中出现大量数字进程(也可能有其它可疑进程),下载大量其它木马,盗取帐号,重装系统后仍反复感染,难以清除。目前已有变种出现。

二、系统文件usp10.dll

  USP是Unicode Scripts Processor的简称,意思就是“Unicode文字系统处理器”。它是微软开发的Windows作业系统为正确演示Unicode文字而开发的组件,系统的核心即一个名为USP10.DLL的DLL。它从Windows 2000开始连同Windows一起捆绑,Win 9x的用户在更新至Internet Explorer 5.0之后,系统亦会安装有本组件。USP的当前最新版本是随同Windows Server 2008 RTM、Windows Vista SP1等所附带的1.626.6001.18000。

  正常的系统文件USP10.dll是字符显示脚本应用程序接口相关文件,存在于C:\WINDOWS\system32\USP10.dll,大小约400K,也有可能存在于C:\WINDOWS\system32\dllcache\USP10.dll。
  usp10.dll木马病毒则是利用window系统目录优先权来启动。(目录优先权,windows系统在执行一个文件时,首先会在“当前目录”查找所要执行的文件,如果当前目录不存在这个文件,就会到windows\system32\下去查找,如果还是不存在,就会到windows\目录下去查找,如果还是不存在就会在环境变量PATH中的目录下去查找,这个就是windows目录优先权。)因此USP10.dll病毒会把自身大量复制到每个可执行文件同目录下,甚至替换正常的系统文件usp10.dll,该病毒文件目前大小约几十K(因为有变种,大小可能会有不同)。

附金山的猫癣病毒完整分析报告:

一、现象描述:

  1 感染“猫癣下载器”的电脑速度会明显变慢,杀毒软件反复提示发现病毒不能完全清除

  2 非系统盘的可执行文件文件目录发现“usp10.dll”文件

  3 部分用户的电脑感染猫癣下载器会出现弹出大量广告页面、“QQ医生”扫描功能无法正常使用,迅雷不能正常使用等各种症状,

  4 部分用户查毒以后将导致输入法无法正常使用

  5 QQ,网游游戏账号被盗

二、行为描述:

  1、对抗安全软件

  1) 病毒通过给进程照相对比的方式找到以下软件的进程然后调用windows TerminateProcess函数尝试将其结束。

  kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
  ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
  ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
  rfwmain.exe rfwstub.exe rfwsrv.exe

  2) 调用360保险箱自带卸载参数卸载保险箱,并修改注册表关闭360安全卫士的实时监控

  遍历当前进程,发现存在"safeboxTray.exe"进程,获取其文件路径,并以"/u"参数打开"safeboxTray.exe"进程,"/u"参数是其自带的卸载参数。

  修改注册表

  HKLM\SOFTWARE\360Safe\safemon
  "MonAccess" REG_DWORD 0
  "SiteAccess" REG_DWORD 0
  "ExecAccess" REG_DWORD 0
  "ARPAccess" REG_DWORD 0
  "weeken" REG_DWORD 0
  "IEProtAccess" REG_DWORD 0
  "LeakShowed" REG_DWORD 0
  "UDiskAccess" REG_DWORD 0

  3) 创建线程关闭icesword之类的安全软件的窗口

  病毒检查当前窗口的class(类)是否为"AfxControlBar42s",如果是则向此窗口发送WM_CLOSE(关闭消息)消息,并模拟键盘的回车键点击“是”。

  2、破坏系统设置

  1) 替换下载并替换HOSTS文件,从而屏蔽竞争对手的木马下载域名

  下载hxxp://txt.naiws.com/ad.jpg,保存到%sys32dir%\drivers\ect\hosts文件

  2) 更改显示隐藏文件,使得病毒释放的部分文件不被用户发现

  修改以下注册表键值,来隐藏文件

  HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  "Hidden" REG_DWORD 0
  "SuperHidden" REG_DWORD 0
  "ShowSuperHidden" REG_DWORD 0

  3) 添加对迅雷的映像劫持(IFEO),感染后不能正常使用迅雷

  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe
  "Debugger" REG_SZ "svchost.exe"

  3、病毒不断复活,难以清除

  1) 猫癣下载器使用机器狗的穿还原的技术修改ctfmon.exe(此程序用先是当前输入法状态),若此文件被杀毒软件查杀,则用户不能切换输入法输入中文

  2) 猫癣下载器,使用了劫持dll文件的方式,在所有非系统盘的可执行文件所在目录释放大量“usp10.dll”文件,当用户发现电脑“中招以后”即使进行重新安装,却因为这个马甲dll没有被清除导致再度感染

  3) 猫癣下载器在局域网中会尝试使用扫荡波(ms08-67)漏洞攻击局域网的用户,若用户没有及时修补扫荡波漏洞将可能反复被感染

  4) 由于很多网站安全意识薄弱,恶意代码被轻松植入,猫癣下载器借IE0day漏洞,flashplayer,realpaly,迅雷5,暴风影音,联众世界,微软access漏洞等漏洞在网络广泛传播,用户访问网页的时候就有可能再次感染病毒

  4、猫癣下载器给电脑带来的危害

  猫癣下载器下载针对魔兽世界、大话西游onlineII、剑侠世界、完美系列游戏、梦幻西游、魔域等十余款热门网游、以及QQ的盗号木马,企图盗窃受害用户网络虚拟财产

三、清除方法

  首先,如果已经重新安装系统,装完系统后千万不要碰电脑上其它硬盘分区上的文件,直接安装杀软杀毒。手动清除方法是进入安全模式,搜索并删除所有盘下所有目录中的thumbs.db、 usp10.dll(搜索时要包含隐藏文件:点击更多高级选项-勾选搜索搜索隐藏的文件和文件夹)。注意通过文件大小、文件日期区别usp10.dll正常与病毒文件。(此病毒利用了系统进入目录都会读取thumbs.db的机会来执行恶意代码,以及上面说的window系统目录优先权利用usp10.dll来启动病毒。注:可以更改文件夹选项-查看-不缓存缩略图,来避免生成thumbs.db。)最后记得把被病毒替换的system32下的usp10.dll恢复(用正常文件覆盖)。如果你在之前没有重装系统,一定要注意到注册表中删除相关IFEO映像劫持项(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options),不然你的杀毒软件仍然不能运行。仍然推荐在全做完后要用杀毒软件、杀木马软件全盘扫描一下,因为以上清除的只是usp10.dll自身病毒,而它下载的其它病毒、木马却还在,需要另外处理,同时也要删除一下临时文件、IE缓存,清除这些病毒木马的藏身地。

  另外有的还有一个psapi.dll,也是系统文件被病毒替换,被病毒利用原理与处理方法类似上面的usp10.dll,注意它的正常大小只有十几K。

附微点提供的手工处理方法:

步骤一、开机按F8进入安全模式,然后调出系统的任务管理器,结束ctfmon.exe进程;

步骤二、使用u盘到其他正常主机系统下拷贝c:\windows\system32\ctfmon.exe、c:\windows\system32\drivers\beep.sys,然后插入中毒主机的安全模式系统下,把文件同时拷贝到c:\windows\system32\和c:\windows\system32\dllcache\目录下替换原文件;

步骤三、开始运行输入regedit打开

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\找到Hidden项修改值为1,SuperHidden项修改值为0,ShowSuperHidden项修改值为1;

步骤四、打开资源管理器,对硬盘进行全盘搜索usp10.dll(文件类型所有文件和文件夹),把搜索结果中除系统盘符目录的其他盘符目录下所有usp10.dll进行手工删除处理;

步骤五、重复步骤四搜索oiiuasdfh.dll文件进行手工删除处理;

步骤六、清空系统和IE临时文件目录下所有文件,并清空c:\windows\system32\drivers\etc\host文件内容。

四、更多参考及清理工具:

http://www.micropoint.com.cn/NewVirus/newvirus/20090203165821.html

http://www.duba.net/zt/2009/usp10/

http://bbs.ikaka.com/showtopic-8589597.aspx

http://bbs.ikaka.com/showtopic-8593481.aspx

http://baike.360.cn/4005462/20878800.html

http://www.2000xg.com/article.asp?id=976

清除usp10.dll、psapi.dll木马群


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/241.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号