首页 > 网络安全 > USP10.DLL猫癣病毒分析报告和查杀方法

USP10.DLL猫癣病毒分析报告和查杀方法

一、现象描述
  1.感染“猫癣下载器”的电脑速度会明显变慢,杀毒软件反复提示发现病毒不能完全清除;
  2.非系统盘的可执行文件目录发现“usp10.dll”文件;
  3.部分用户的电脑感染猫癣下载器会出现弹出大量广告页面、“QQ医生”扫描功能无法正常使用,迅雷不能出现正常使用等各种症状;
  4.部分用户查毒以后将导致输入法无法正常使用;
  5.QQ、网游游戏账号被盗。
  二、行为描述
  1、对抗安全软件
  (1) 病毒通过给进程照相对比方式找到以下软件的进程,然后调用windows TerminateProcess函数尝试将其结束。
  kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe rfwmain.exe rfwstub.exe rfwsrv.exe
  (2) 调用360保险箱自带卸载参数卸载保险箱,并修改注册表关闭360安全卫士的实时监控遍历当前进程,发现存在"safeboxTray.exe"进程,获取其文件路径,并以"/u"参数打开"safeboxTray.exe"进程,"/u"参数是其自带的卸载参数。
  修改注册表
  HKLM\SOFTWARE\360Safe\safemon
  "MonAccess"REG_DWORD0
  "SiteAccess" REG_DWORD0
  "ExecAccess"REG_DWORD0
  "ARPAccess"REG_DWORD0
  "weeken"REG_DWORD0
  "IEProtAccess"REG_DWORD0
  "LeakShowed"REG_DWORD0
  "UDiskAccess"REG_DWORD0
  (3) 创建线程关闭icesword之类的安全软件的窗口
  病毒检查当前窗口的class(类)是否为"AfxControlBar42s",如果是则向此窗口发送WM_CLOSE(关闭消息)消息,并模拟键盘的回车键点击“是”。
  2、破坏系统设置
  (1) 替换下载并替换HOSTS文件,从而屏蔽竞争对手的木马下载域名
  下载
[url=http://txt.naiws.com/ad.jpg]
http://txt.naiws.com/ad.jpg
[/url]
,保存到%sys32dir%\drivers\ect\hosts文件
  (2) 更改显示隐藏文件,使得病毒释放的部分文件不被用户发现
  修改以下注册表键值,来隐藏文件
  HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  "Hidden"REG_DWORD0
  "SuperHidden"REG_DWORD0
  "ShowSuperHidden"REG_DWORD0
  (3) 添加对迅雷的映像劫持(IFEO),感染后不能正常使用迅雷
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
  \Image File Execution Options\Thunder5.exe
  "Debugger"REG_SZ"svchost.exe"
  3、病毒不断复活,难以清除
  (1) 猫癣下载器使用机器狗的穿还原的技术修改ctfmon.exe(此程序用先是当前输入法状态),若此文件被杀毒软件查杀,则用户不能切换输入法输入中文。
  (2) 猫癣下载器,使用了劫持dll文件的方式,在所有非系统盘的可执行文件所在目录释放大量“usp10.dll”文件,当用户发现电脑“中招以后”即使进行重新安装,却因为这个马甲dll没有被清除导致再度感染。
  (3) 猫癣下载器在局域网中会尝试使用扫荡波(MS08-067)漏洞攻击局域网的用户,若用户没有及时修补扫荡波漏洞将可能反复被感染。
  (4) 由于很多网站安全意识薄弱,恶意代码被轻松植入,猫癣下载器借IE0day漏洞、Flashplayer、Realpaly、迅雷5、暴风影音、联众世界、微软access漏洞等漏洞在网络广泛传播,用户访问网页的时候就有可能再次感染病毒。
  4、猫癣下载器给电脑带来的危害
  猫癣下载器下载针对魔兽世界、大话西游OnlineII、剑侠世界、完美系列游戏、梦幻西游、魔域等十余款热门网游、以及QQ的盗号木马,企图盗窃受害用户网络虚拟财产。
  三、防御方案
  (1) 更新病毒库、开启实时监控
  (2) 使用相关工具打全系统补丁
  (3) 安装安全工具,以防止该病毒通过网页恶意代码入侵你的系统。
  四、清除猫癣和查杀USP10.DLL的专杀工具
  以下是金山的系统急救箱,可以清除猫癣下载器,修复Comres.dll、rpcss.dll、usp10.dll等系统异常等。
  下载地址:
[url=http://cu003.www.duba.net/duba/tools/dubatools/install.exe]
http://cu003.www.duba.net/duba/tools/dubatools/install.exe
[/url]
  五、手动删除方式
  进到安全模式下,记住不要点击任何目录下的可运行程序,然后按照下面的步骤:
  1 “工具”–“文件夹选项”–“查看”–把“隐藏受保护的操作系统文件的对勾去掉”关闭以及选择“显示所有文件和文件夹”,这时你会看见很多目录下都有usp10.dll大小为8K。
  2 找到系统windows目录下的usp100.dll删除(最好不要用鼠标双击根目录,因为任何目录都通过explorer.exe,用地址栏就行了)。记住不要点击任何目录下的可运行程序,因为usp10.dll具有系统优先权,你点击任何可运行程序都会首先加挂usp10.dll。
  3 将下面粘贴到记事本保存为bat批处理文件,然后双击运行。
  @echo off
  set "str=usp10.dll"
  set "drv=c d e f"
  for %%a in (%drv%) do (
  if exist %%a: (
  for /f "delims=" %%b in ('dir /s/b/a-d "%%a:\%str%" 2^>nul') do (
  if not "%%b"=="" (
  attrib "%%b" -a -h -s
  del /f/s/q "%%b"
  )
  )
  )
  )
  4 在“运行”中输入:regedit;查找包含usp10.dll的键和项然后删除。(system32目录下的usp10.dll除外)
  重启搞定,请严格按照上面步骤进行。

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/324

  1. 还没有评论
评论提交中, 请稍候...

留言



注意: 您给他人的评论回复将通过邮件通知到对方。

可以使用的标签: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
Trackbacks & Pingbacks ( 0 )
  1. 还没有 trackbacks