usp10.dll的載體是:gr.exe。
這病毒有點詭異,,可能是因爲防止在虛擬機被調試
我測試的時候磕磕碰碰,現下簡單分析:
一、首先運行gr.exe,沒動靜(任務管理器可見)...沒有任何作爲。
二、釋放文件:
%Systemroot%\system32\sadfasdf.jpg 1198 字節
其實不是圖片格式,是一個病毒列表,用文本方式打開爲:
en=y
url1=http://www.dwjxn.com/new/new1.exe
url2=http://www.dwjxn.com/new/new2.exe
url3=http://www.dwjxn.com/new/new3.exe
url4=http://www.dwjxn.com/new/new4.exe
url5=http://www.dwjxn.com/new/new5.exe
url6=http://www.dwjxn.com/new/new6.exe
url7=http://www.dwjxn.com/new/new7.exe
url8=http://www.dwjxn.com/new/new8.exe
url9=http://www.dwjxn.com/new/new9.exe
url10=http://www.dwjxn.com/new/new10.exe
url11=http://www.dwjxn.com/new/new11.exe
url12=http://www.dwjxn.com/new/new12.exe
url13=http://www.dwjxn.com/new/new13.exe
url14=http://www.dwjxn.com/new/new14.exe
url15=http://www.dwjxn.com/new/new15.exe
url16=http://www1.dwjxn.com/new/new16.exe
url17=http://www1.dwjxn.com/new/new17.exe
url18=http://www1.dwjxn.com/new/new18.exe
url19=http://www1.dwjxn.com/new/new19.exe
url20=http://www1.dwjxn.com/new/new20.exe
url21=http://www1.dwjxn.com/new/new21.exe
url22=http://www1.dwjxn.com/new/new22.exe
url23=http://www1.dwjxn.com/new/new23.exe
url24=http://www1.dwjxn.com/new/new24.exe
url25=http://www1.dwjxn.com/new/new25.exe
url26=http://www1.dwjxn.com/new/new26.exe
url27=http://www1.dwjxn.com/new/new27.exe
url28=http://www1.dwjxn.com/new/new28.exe
url1=http://www.dwjxn.com/new/new1.exe
url2=http://www.dwjxn.com/new/new2.exe
url3=http://www.dwjxn.com/new/new3.exe
url4=http://www.dwjxn.com/new/new4.exe
url5=http://www.dwjxn.com/new/new5.exe
url6=http://www.dwjxn.com/new/new6.exe
url7=http://www.dwjxn.com/new/new7.exe
url8=http://www.dwjxn.com/new/new8.exe
url9=http://www.dwjxn.com/new/new9.exe
url10=http://www.dwjxn.com/new/new10.exe
url11=http://www.dwjxn.com/new/new11.exe
url12=http://www.dwjxn.com/new/new12.exe
url13=http://www.dwjxn.com/new/new13.exe
url14=http://www.dwjxn.com/new/new14.exe
url15=http://www.dwjxn.com/new/new15.exe
url16=http://www1.dwjxn.com/new/new16.exe
url17=http://www1.dwjxn.com/new/new17.exe
url18=http://www1.dwjxn.com/new/new18.exe
url19=http://www1.dwjxn.com/new/new19.exe
url20=http://www1.dwjxn.com/new/new20.exe
url21=http://www1.dwjxn.com/new/new21.exe
url22=http://www1.dwjxn.com/new/new22.exe
url23=http://www1.dwjxn.com/new/new23.exe
url24=http://www1.dwjxn.com/new/new24.exe
url25=http://www1.dwjxn.com/new/new25.exe
url26=http://www1.dwjxn.com/new/new26.exe
url27=http://www1.dwjxn.com/new/new27.exe
url28=http://www1.dwjxn.com/new/new28.exe
都是病毒,,別點啊,,,
%Systemroot%\Tasks\1 7168 字節
也就是usp10.dll...
三、查找除系統盤外的可執行文件,在其目錄下生成usp10.dll...屬性爲隱藏。
那麼在運行程序的時候,會先調用目錄下的usp10.dll...
四、當假usp10.dll被程序加載的時候,首先查找互斥體,有則退出。
最後加載正常的usp10.dll文件。
五、連接網絡:[url]http://www.hoho-3.cn/down/gr.exe[/url],這裏應該是最新的版本
然後添加註冊表至PendingFileRenameOperations,延遲刪除舊的病毒文件!
六、修改註冊表,破壞顯示隱藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden
REG_DWORD, 1 ==> REG_DWORD, 2
ShowSuperHidden
REG_DWORD, 1 ==> REG_DWORD, 0
Hidden
REG_DWORD, 1 ==> REG_DWORD, 2
ShowSuperHidden
REG_DWORD, 1 ==> REG_DWORD, 0
七、註冊一個空服務,隱藏文件:%Systemroot%\Tasks\1
當服務存在的時候,%Systemroot%\Tasks\1不能用於文件瀏覽
但是Acdsee、Winrar和冰刃之類的軟件可以發覺該文件!
瘋狂下載***,,一共有28個,都是盜號的***!
因爲主體沒有正常運行,所以刪除usp10.dll相對比較容易
1、打開註冊表(Regedit),刪除這個服務:LEGACY_IO
如果無法刪除的話,右鍵,,,設置權限,,,
2、刪除文件:
%Systemroot%\Tasks\1 7168 字節
%Systemroot%\system32\sadfasdf.jpg 1198 字節
3、搜索文件,關鍵字:“usp10”
注意%Systemroot%\system32\和%Systemroot%\system32\dllcache下的usp10.dll別刪除
其他的全部刪除,,都是7KB的撒,,,,
