usp10.dll的载体是:gr.exe。
这病毒有点诡异,,可能是因为防止在虚拟机被调试
我测试的时候磕磕碰碰,现下简单分析:
一、首先运行gr.exe,没动静(任务管理器可见)...没有任何作为。
二、释放文件:
%Systemroot%\system32\sadfasdf.jpg 1198 字节
其实不是图片格式,是一个病毒列表,用文本方式打开为:
en=y
url1=http://www.dwjxn.com/new/new1.exe
url2=http://www.dwjxn.com/new/new2.exe
url3=http://www.dwjxn.com/new/new3.exe
url4=http://www.dwjxn.com/new/new4.exe
url5=http://www.dwjxn.com/new/new5.exe
url6=http://www.dwjxn.com/new/new6.exe
url7=http://www.dwjxn.com/new/new7.exe
url8=http://www.dwjxn.com/new/new8.exe
url9=http://www.dwjxn.com/new/new9.exe
url10=http://www.dwjxn.com/new/new10.exe
url11=http://www.dwjxn.com/new/new11.exe
url12=http://www.dwjxn.com/new/new12.exe
url13=http://www.dwjxn.com/new/new13.exe
url14=http://www.dwjxn.com/new/new14.exe
url15=http://www.dwjxn.com/new/new15.exe
url16=http://www1.dwjxn.com/new/new16.exe
url17=http://www1.dwjxn.com/new/new17.exe
url18=http://www1.dwjxn.com/new/new18.exe
url19=http://www1.dwjxn.com/new/new19.exe
url20=http://www1.dwjxn.com/new/new20.exe
url21=http://www1.dwjxn.com/new/new21.exe
url22=http://www1.dwjxn.com/new/new22.exe
url23=http://www1.dwjxn.com/new/new23.exe
url24=http://www1.dwjxn.com/new/new24.exe
url25=http://www1.dwjxn.com/new/new25.exe
url26=http://www1.dwjxn.com/new/new26.exe
url27=http://www1.dwjxn.com/new/new27.exe
url28=http://www1.dwjxn.com/new/new28.exe
url1=http://www.dwjxn.com/new/new1.exe
url2=http://www.dwjxn.com/new/new2.exe
url3=http://www.dwjxn.com/new/new3.exe
url4=http://www.dwjxn.com/new/new4.exe
url5=http://www.dwjxn.com/new/new5.exe
url6=http://www.dwjxn.com/new/new6.exe
url7=http://www.dwjxn.com/new/new7.exe
url8=http://www.dwjxn.com/new/new8.exe
url9=http://www.dwjxn.com/new/new9.exe
url10=http://www.dwjxn.com/new/new10.exe
url11=http://www.dwjxn.com/new/new11.exe
url12=http://www.dwjxn.com/new/new12.exe
url13=http://www.dwjxn.com/new/new13.exe
url14=http://www.dwjxn.com/new/new14.exe
url15=http://www.dwjxn.com/new/new15.exe
url16=http://www1.dwjxn.com/new/new16.exe
url17=http://www1.dwjxn.com/new/new17.exe
url18=http://www1.dwjxn.com/new/new18.exe
url19=http://www1.dwjxn.com/new/new19.exe
url20=http://www1.dwjxn.com/new/new20.exe
url21=http://www1.dwjxn.com/new/new21.exe
url22=http://www1.dwjxn.com/new/new22.exe
url23=http://www1.dwjxn.com/new/new23.exe
url24=http://www1.dwjxn.com/new/new24.exe
url25=http://www1.dwjxn.com/new/new25.exe
url26=http://www1.dwjxn.com/new/new26.exe
url27=http://www1.dwjxn.com/new/new27.exe
url28=http://www1.dwjxn.com/new/new28.exe
都是病毒,,别点啊,,,
%Systemroot%\Tasks\1 7168 字节
也就是usp10.dll...
三、查找除系统盘外的可执行文件,在其目录下生成usp10.dll...属性为隐藏。
那么在运行程序的时候,会先调用目录下的usp10.dll...
四、当假usp10.dll被程序加载的时候,首先查找互斥体,有则退出。
最后加载正常的usp10.dll文件。
五、连接网络:[url]http://www.hoho-3.cn/down/gr.exe[/url],这里应该是最新的版本
然后添加注册表至PendingFileRenameOperations,延迟删除旧的病毒文件!
六、修改注册表,破坏显示隐藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden
REG_DWORD, 1 ==> REG_DWORD, 2
ShowSuperHidden
REG_DWORD, 1 ==> REG_DWORD, 0
Hidden
REG_DWORD, 1 ==> REG_DWORD, 2
ShowSuperHidden
REG_DWORD, 1 ==> REG_DWORD, 0
七、注册一个空服务,隐藏文件:%Systemroot%\Tasks\1
当服务存在的时候,%Systemroot%\Tasks\1不能用于文件浏览
但是Acdsee、Winrar和冰刃之类的软件可以发觉该文件!
疯狂下载***,,一共有28个,都是盗号的***!
因为主体没有正常运行,所以删除usp10.dll相对比较容易
1、打开注册表(Regedit),删除这个服务:LEGACY_IO
如果无法删除的话,右键,,,设置权限,,,
2、删除文件:
%Systemroot%\Tasks\1 7168 字节
%Systemroot%\system32\sadfasdf.jpg 1198 字节
3、搜索文件,关键字:“usp10”
注意%Systemroot%\system32\和%Systemroot%\system32\dllcache下的usp10.dll别删除
其他的全部删除,,都是7KB的撒,,,,
