« »
02/22/2009资源

“犇牛”usp10.dll木马查杀方法和工具

昨天下午接到客户电话,说感觉运行的有点不正常,派个工程师去看了一下,呵呵,老革命遇到新问题了–牛年以来最牛的”犇牛”木马,伪装名”usp10.dll”,能彻底专杀的工具至少在我发稿时还没有,不过有别的方法清除。
当然,没有什么人是神,到客户哪里就能看出是什么原因,只是不断在分析、在探索与求证。每个病毒或者木马的发作基本是有前兆的,”犇牛”也不例外。网上说这个的也到处都是,神忽其神的。照超没什么意思,我只说一下我看到的体现出来的情况。

症状:机器有些些慢,如果运行好的话,会慢如老牛。”犇牛”四头牛,不一般啊。还有最初发现就是”地下城与勇士”游戏不能玩,还有个别游戏,当然最初也没太在意。任何病毒也好木马也好,所出来的版本绝不是一种,杀毒软件在更新,病毒也在更新。现在名为”犇牛”的木马,文件名为”usp10.dll”其实在去年8月份就有了,当时金山把他命名为”猫癣下载器”,因为他会在所有有可执行文件的相同目录里都生成”usp10.dll”文件,就想生癣了呵呵,重装系统也无济于事。牛年以来的这个”犇牛”,具体的讲大约是从09年的2月4号开始出来的,如果运气好,会有机会发现自己的机器慢如”老牛”,有时候还会弹出广告网页,甚至一些杀毒软件会被他卸掉(好象最近几年的病毒都有这功能),QQ医生、360之类的早些时候的版本也不能幸免。然后”犇牛-usp10.dll”会下载大量木马、病毒之类的东西,除非你全盘格,要不然很难清除。

本文来自ctusky的个人搏客www.ctusky.com

认识usp10.dll
USP是Unicode Scripts Processor的简称,意思就是”Unicode文字系统处理器”。它是微软开发的Windows作业系统为正确演示Unicode文字而开发的组件,系统的核心即一个名为USP10.DLL的DLL。它从Windows 2000开始连同Windows一起捆绑,Win 9x的用户在更新至Internet Explorer 5.0之后,系统亦会安装有本组件。USP的当前最新版本是随同Windows Server 2008 RTM、Windows Vista SP1等所附带的1.626.6001.18000。
USP主要包括以下的部件:
1.把文字从输入次序重排成为显示次序
2.把文字按前文后理作出适当的变换
3.按文字显示的方向作出字元的替换
虽然Uniscribe从Windows 2000开始随系统提供,但不同版本的Uniscribe对各地不同的文字有不同的支持:最初的版本只支持泰语、越南语,之后到希伯来语和阿拉伯语。从Windows XP开始支援几个主要的南亚文字及亚述语,但僧加罗语、高棉语、缅甸语及各种使用蒙古文字的语言,由于他们的具体编码方式在Windows XP推出时还未落实,因此未能正式支持。现时不少为这些语言而设计的软体,在USP10.dll未更新之前,都不能正确操作。
总结一下:
DLL文件:usp10或者usp10.dll
DLL名称:Uniscribe Unicode script processor
描述:usp10.dll是字符显示脚本应用程序接口相关文件。
属于:Uniscribe
系统 DLL文件:是
常见错误:File Not Found, Missing File, Exception Errors
USP10.dll病毒原理:
正常的USP10.dll是字符显示脚本应用程序接口相关文件,存在于C:\WINDOWS\system32\USP10.dll,也有可能存在于C:\WINDOWS\system32\dllcache\USP10.dll。
usp10.dll木马病毒则是利用window系统目录优先权来启动。
首先来说说这个目录优先权,windows系统在执行一个文件时,首先会在”当前目录”查找所要执行的文件,如果当前目录不存在这个文件,就会到windows\system32\下去查找,如果还是不存在,就会到windows\目录下去查找,如果还是不存在就会在环境变量PATH中的目录下去查找,这个就是windows目录优先权。 本文来自ctusky的个人搏客www.ctusky.com
这里还要告诉大家是,一个exe文件执行会调用系统不少的DLL。
了解了这个目录优先权和exe应用程序执行时会调用系统dll后,不少朋友可能都已经想到了,这个USP10.dll为什么会把自身大量复制到每个可执行文件同目录下,为什么会取名为USP10.dll?对,复制自身就是让可执行文件在执行的时候抢占目录优先权,而命名为USP10.dll是因为在windows\system32\也有个USP10.dll,很多应用程序启动时都会调用这个dll,这就是这个USP10.dll病毒的启动原理了。

USP10.dll病毒手动查杀:
首先打开”我的电脑”,选择菜单栏”工具”下的”文件夹选项”,去掉”隐藏受保护的操作系统文件(推荐)”前边的勾,再勾选”显示所有文件和文件夹”。这样做是因为这个USP10.dll病毒把自身修改为系统文件和隐藏文件,正常情况下是看不到的。
USP10.dll病毒会感染系统里所有exe文件,并且把自身复制到被感染exe文件的当前目录。
所以大家需要到安全模式去删除病毒,在安全模式下,病毒还是会驻留在某些系统进程里,这里不用害怕,我们来一步步消灭这可恶的病毒。
在开始菜单选择”搜索”,点击”所有文件和文件夹”,在”全部或部分文件名”里写上”usp10.dll”,然后直接点”搜索”,系统会搜索出所有盘符下的USP10.dll病毒。
注意:C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll目录文件的不是病毒,其他的都是,等把所有usp10.dll搜索出来后,就删除掉。C:\WINDOWS\USP10.dll可能一时删不了,这个也是病毒,只是还有进程在使用他,我们可以先给他改个名字,重命名一下,只要不是usp10.dll就可以,然后重新启动,再回到C:\WINDOWS\把你刚改的名字的病毒删掉就可以了。
这里我总结下:C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll不能删,其他usp10.dll都删除,C:\WINDOWS\USP10.dll可能一时删不了,重命名后删除。
如果您还觉得不放心,可以在注册表查询USP10.dll,删除可疑项目。
注意:此方法有个缺陷,即病毒虽然被查杀,但系统文件也已经遭到破坏。

当然,如果你喜欢用命令行的模式,可以到相应的盘符跟目录,运行 dir usp10.dll /s 和 dir usp10.dll /s /ah 来查看。本文来自ctusky的个人搏客www.ctusky.com

从上面的内容看来”犇牛”目前还算是有点良心,没感染可执行文件,不过也难保以后,不可掉以轻心。目前还没见到有什么特别好的专杀工具,不过建议使用奇虎公司的顽固木马专杀工具,至少也能让你在不”手工”的情况下,发现你是否中招,记得病毒库要更新要最新。

最后再给出XP PRO版本 SP2和SP3下的usp10.dll的MD5值,仅供参考。

xp pro sp2:版本为1.0420.2600.2180,MD5为507b0bce19592114583bec3bfe55d33a
xp pro sp3:版本为1.0420.2600.5512,MD5为afed3a9b8b2560728773c09e83ed3f4f

记得是仅供参考。

再给出奇虎的顽固木马专杀工具下载地址
祝福大家好运。完稿

日志信息 »

该日志于2009-02-22 11:32由 ctusky 发表在 资源 分类下, 通告目前不可用,你可以至底部留下评论。
如需转载烦请添加以下信息: 本文转自www.ctusky.com
如喜欢这篇文章或者本站,建议您RSS订阅本站,以及时地获取更多精彩内容!

看过本文的人还看过 »

没有评论

发表评论 »

返回顶部