usp10.dll..._孤独更可靠

查看文章

usp10.dll...

2009-02-01 19:41

usp10.dll的载体是：gr.exe。

这病毒有点诡异，，可能是因为防止在虚拟机被调试

我测试的时候磕磕碰碰，现下简单分析：

一、首先运行gr.exe，没动静（任务管理器可见）...没有任何作为。

二、释放文件：

%Systemroot%\system32\sadfasdf.jpg 1198 字节

其实不是图片格式，是一个病毒列表，用文本方式打开为：

en=y
url1=http://www.dwjxn.com/new/new1.exe
url2=http://www.dwjxn.com/new/new2.exe
url3=http://www.dwjxn.com/new/new3.exe
url4=http://www.dwjxn.com/new/new4.exe
url5=http://www.dwjxn.com/new/new5.exe
url6=http://www.dwjxn.com/new/new6.exe
url7=http://www.dwjxn.com/new/new7.exe
url8=http://www.dwjxn.com/new/new8.exe
url9=http://www.dwjxn.com/new/new9.exe
url10=http://www.dwjxn.com/new/new10.exe
url11=http://www.dwjxn.com/new/new11.exe
url12=http://www.dwjxn.com/new/new12.exe
url13=http://www.dwjxn.com/new/new13.exe
url14=http://www.dwjxn.com/new/new14.exe
url15=http://www.dwjxn.com/new/new15.exe
url16=http://www1.dwjxn.com/new/new16.exe
url17=http://www1.dwjxn.com/new/new17.exe
url18=http://www1.dwjxn.com/new/new18.exe
url19=http://www1.dwjxn.com/new/new19.exe
url20=http://www1.dwjxn.com/new/new20.exe
url21=http://www1.dwjxn.com/new/new21.exe
url22=http://www1.dwjxn.com/new/new22.exe
url23=http://www1.dwjxn.com/new/new23.exe
url24=http://www1.dwjxn.com/new/new24.exe
url25=http://www1.dwjxn.com/new/new25.exe
url26=http://www1.dwjxn.com/new/new26.exe
url27=http://www1.dwjxn.com/new/new27.exe
url28=http://www1.dwjxn.com/new/new28.exe

都是病毒，，别点啊，，，

%Systemroot%\Tasks\1 7168 字节

也就是usp10.dll...

三、查找除系统盘外的可执行文件，在其目录下生成usp10.dll...属性为隐藏。

那么在运行程序的时候，会先调用目录下的usp10.dll...

四、当假usp10.dll被程序加载的时候，首先查找互斥体，有则退出。

最后加载正常的usp10.dll文件。

五、连接网络：http://www.hoho-3.cn/down/gr.exe，这里应该是最新的版本

然后添加注册表至PendingFileRenameOperations，延迟删除旧的病毒文件！

六、修改注册表，破坏显示隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
        Hidden
        REG_DWORD, 1 ==> REG_DWORD, 2
       ShowSuperHidden
        REG_DWORD, 1 ==> REG_DWORD, 0

七、注册一个空服务，隐藏文件：%Systemroot%\Tasks\1

当服务存在的时候，%Systemroot%\Tasks\1不能用于文件浏览

但是Acdsee、Winrar和冰刃之类的软件可以发觉该文件！

八、再联网...：http://txt.kadwo.com/oo.txt

疯狂下载木马，，一共有28个，都是盗号的木马！

因为主体没有正常运行，所以删除usp10.dll相对比较容易

1、打开注册表（Regedit），删除这个服务：LEGACY_IO

如果无法删除的话，右键，，，设置权限，，，

2、删除文件：

%Systemroot%\Tasks\1 7168 字节

%Systemroot%\system32\sadfasdf.jpg 1198 字节

3、搜索文件，关键字：“usp10”

注意%Systemroot%\system32\和%Systemroot%\system32\dllcache下的usp10.dll别删除

其他的全部删除，，都是7KB的撒，，，，

估计这东西还会再更新，，等啥时有空了，，再去看看....

欢迎提供样本：Lyhan1988@163.com,加密virus

类别：原创(病毒分析)``` | 添加到搜藏 | 浏览() | 评论 (28)

最近读者：

网友评论：

2009-02-01 23:20 | 回复

LEGACY_IO是什么东西。。。？分析的时候没发现有这玩意啊。。。

2009-02-02 08:35 | 回复

服务啊，，，不过没有指向任何可疑文件，，，，，，，， (+)(注册表键) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IO (+)(注册表值) NextInstance = REG_DWORD, 1 (+)(注册表键) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IO\0000 (+)(注册表值) Class = REG_SZ, "LegacyDriver" (+)(注册表值) ClassGUID = REG_SZ, "{8ECC055D-047F-11D1-A537-0000F8753ED1}" (+)(注册表值) ConfigFlags = REG_DWORD, 0 (+)(注册表值) DeviceDesc = REG_SZ, "io" (+)(注册表值) Legacy = REG_DWORD, 1 (+)(注册表值) Service = REG_SZ, "io" (+)(注册表键) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IO\0000\Control (+)(注册表值) *NewlyCreated* = REG_DWORD, 0

2009-02-02 08:52 | 回复

^_^ 辛苦

2009-02-02 08:59 | 回复

孤独啊,你还活着啊~~ 新年快乐~~

2009-02-02 09:00 | 回复

郁闷啊，，，死阿虎，，，我当然还活着，，哈哈哈，，新年快乐，，还有孤客持情剑，新年好哈，，：）

2009-02-02 09:42 | 回复

娃哈哈，你还蛮快的么~ 你换QQ了？

2009-02-02 11:00 | 回复

没有换QQ啊，，很少登入，，，，，

2009-02-02 12:02 | 回复

呵呵....

2009-02-02 12:43 | 回复

FUK 你丫的很少登，为啥最近突然冒出来了~

2009-02-02 12:53 | 回复

消失很久了。

2009-02-02 13:26 | 回复

小孤师傅动作就是快去年 6 月就分析过一个 usp10.dll ，貌似现在不同了。去年那个是 33KB 的。不知道这个如何。有样本可以提供么？

2009-02-02 16:07 | 回复

回复阿虎：是啊，，，当然要登入下，，，要不太久没登入密码会不记得，，，

2009-02-02 16:08 | 回复

http://www.hoho-3.cn/down/gr.exe 这个就是了，小爱那里也有样本哈，，：）

2009-02-03 11:19 | 回复

呵呵，我得到了 usp10.dll 也分析到了主体地址，但是家里不能上网，下载不到，哭....

2009-02-03 16:01 | 回复

呵呵，，，

2009-02-04 12:25 | 回复

对 gr.exe 我也做了一些分析

2009-02-04 19:25 | 回复

呃，，没看到呢，博客嘛？还是360论坛

2009-02-05 09:44 | 回复

Baidu，登陆查看。

2009-02-06 08:25 | 回复

已阅了：）

2009-02-06 19:14 | 回复

这个usp10.dll 很火哈

2009-02-07 08:57 | 回复

回复月下桂花：机器挂了，里面全是usp10.dll。这个东西好像比以前的要牛得多，什么360，杀软全game over... 现有没什么清除方法，专杀啊之类。我是菜鸟，太专业、复杂的看不懂，重装好像里面还有，难道要全格了？？

2009-02-07 21:35 | 回复

我晕小姑回归了，来的晚了。。。。。

2009-02-08 16:50 | 回复

郁闷啊，，偶尔更新一下而已，，

2009-02-09 18:29 | 回复

顶

2009-02-11 13:46 | 回复

嘿嘿，很多大牛也分析过了喔……楼主的是新版本？

2009-02-11 16:24 | 回复

不知道啊，

2009-09-05 14:20 | 回复

那个下载地址还有效……

2009-09-06 14:21 | 回复

域名稳定...

Orz

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复