0
2009/03/25 
21:38 
585
目前,恶意程序Trojan-Dropper.Win32.VB.jen正在广泛传播,该病毒运行后在各盘中都会创建一个autorun.inf文件,导致各盘双击或右键均无法打开,隐藏用户原有的文件夹并创建以用户原有文件夹名命名,图标为文件夹图标的.exe文件,篡改首页为http://www.redtube.com,并修改IE窗口标题为反腐字眼(STOP CORRUPTION!!!)。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Dropper.Win32.VB.jen
病毒别名:反腐蠕虫
感染平台:Windows
病毒大小:206336 bytes
S H A 1 :f57aae6c1fbcf52be41333633fc00d2e625e31f1
加壳类型:UPX V2.00-V3.00
开发工具:Microsoft Visual Basic 5.0 / 6.0
病毒行为:
1、在各盘下创建autorun.inf,导致各盘均无法使用双击或右键打开。
2、生成以下病毒文件:
%Windir%\kagwang.exe 206,336字节
%Windir%\asifucan.exe 167,424 字节
%Windir%\details.bat 167,424 字节
%Windir%\important.mp3.scr 167,424 字节
%Windir%\important.htm.scr 167,424 字节
%Windir%\info.exe 167,424 字节
%Windir%\news.bat 167,424 字节
一、病毒相关分析:
病毒标签:
病毒名称:Trojan-Dropper.Win32.VB.jen
病毒别名:反腐蠕虫
感染平台:Windows
病毒大小:206336 bytes
S H A 1 :f57aae6c1fbcf52be41333633fc00d2e625e31f1
加壳类型:UPX V2.00-V3.00
开发工具:Microsoft Visual Basic 5.0 / 6.0
病毒行为:
1、在各盘下创建autorun.inf,导致各盘均无法使用双击或右键打开。
2、生成以下病毒文件:
%Windir%\kagwang.exe 206,336字节
%Windir%\asifucan.exe 167,424 字节
%Windir%\details.bat 167,424 字节
%Windir%\important.mp3.scr 167,424 字节
%Windir%\important.htm.scr 167,424 字节
%Windir%\info.exe 167,424 字节
%Windir%\news.bat 167,424 字节
认识USP10.dll:
USP是Unicode Scripts Processor的简称,意思就是“Unicode文字系统处理器”。它是微软开发的Windows作业系统为正确演示Unicode文字而开发的组件,系统的核心即一个名为USP10.DLL的DLL。它从Windows 2000开始连同Windows一起捆绑,Win 9x的用户在更新至Internet Explorer 5.0之后,系统亦会安装有本组件。USP的当前最新版本是随同Windows Server 2008 RTM、Windows Vista SP1等所附带的1.626.6001.18000。
USP主要包括以下的部件:
1.把文字从输入次序重排成为显示次序
2.把文字按前文后理作出适当的变换
3.按文字显示的方向作出字元的替换
虽然Uniscribe从Windows 2000开始随系统提供,但不同版本的Uniscribe对各地不同的文字有不同的支持:最初的版本只支持泰语、越南语,之后到希伯来语和阿拉伯语。从Windows XP开始支援几个主要的南亚文字及亚述语,但僧加罗语、高棉语、缅甸语及各种使用蒙古文字的语言,由于他们的具体编码方式在Windows XP推出时还未落实,因此未能正式支持。现时不少为这些语言而设计的软体,在USP10.dll未更新之前,都不能正确操作。
总结一下:
DLL文件:usp10或者usp10.dll
DLL名称:Uniscribe Unicode script processor
描述:usp10.dll是字符显示脚本应用程序接口相关文件。
属于:Uniscribe
系统 DLL文件:是
常见错误:File Not Found, Missing File, Exception Errors
USP10.dll病毒原理:
USP是Unicode Scripts Processor的简称,意思就是“Unicode文字系统处理器”。它是微软开发的Windows作业系统为正确演示Unicode文字而开发的组件,系统的核心即一个名为USP10.DLL的DLL。它从Windows 2000开始连同Windows一起捆绑,Win 9x的用户在更新至Internet Explorer 5.0之后,系统亦会安装有本组件。USP的当前最新版本是随同Windows Server 2008 RTM、Windows Vista SP1等所附带的1.626.6001.18000。
USP主要包括以下的部件:
1.把文字从输入次序重排成为显示次序
2.把文字按前文后理作出适当的变换
3.按文字显示的方向作出字元的替换
虽然Uniscribe从Windows 2000开始随系统提供,但不同版本的Uniscribe对各地不同的文字有不同的支持:最初的版本只支持泰语、越南语,之后到希伯来语和阿拉伯语。从Windows XP开始支援几个主要的南亚文字及亚述语,但僧加罗语、高棉语、缅甸语及各种使用蒙古文字的语言,由于他们的具体编码方式在Windows XP推出时还未落实,因此未能正式支持。现时不少为这些语言而设计的软体,在USP10.dll未更新之前,都不能正确操作。
总结一下:
DLL文件:usp10或者usp10.dll
DLL名称:Uniscribe Unicode script processor
描述:usp10.dll是字符显示脚本应用程序接口相关文件。
属于:Uniscribe
系统 DLL文件:是
常见错误:File Not Found, Missing File, Exception Errors
USP10.dll病毒原理:
[数动连线]Windows系统集成了无数的工具,它们各司其职,满足用户不同的应用需求。这些工具“多才多艺”,如果你有足够的想象力并且善于挖掘,你会发现它们除了本行之外还可以帮我们杀毒。
一、任务管理器给病毒背后一刀
Windows任务管理器是大家对进程进行管理的主要工具,在它的“进程”选项卡中能查看当前系统进程信息。在默认设置下,一般只能看到映像名称、用户名、CPU占用、内存使用等几项,而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息,当系统出现莫名其妙的故障时,没准就能从它们中间找出突破口。
1.查杀会自动消失的双进程木马
前段时间朋友的电脑中了某木马,通过任务管理器查出该木马进程为“system.exe”,终止它后再刷新,它又会复活。进入安全模式把C:\windows\system32\system.exe删除,重启后它又会重新加载,怎么也无法彻底清除它。从此现象来看,朋友中的应该是双进程木马。这种木马有监护进程,会定时进行扫描,一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视,互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。
调出Windows任务管理器,首先在“查看→选择列”中勾选“PID(进程标识符)”,这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程,它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口,执行“taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令,可以看到这次终止的system.exe进程的PID为1536,它属于PID为676的某个进程。也就是说PID为1536的system.exe进程是由PID为676的进程创建的。返回任务管理器,通过查询进程PID得知它就是“internet.exe”进程。
找到了元凶就好办了,现在重新启动系统进入安全模式,使用搜索功能找到木马文件c:\windows\internet.exe ,然后将它们删除即可。前面无法删除system.exe,主要是由于没有找到internet.exe(且没有删除其启动键值),导致重新进入系统后internet.exe复活木马。
2.揪出狂写硬盘的P2P程序
一、任务管理器给病毒背后一刀
Windows任务管理器是大家对进程进行管理的主要工具,在它的“进程”选项卡中能查看当前系统进程信息。在默认设置下,一般只能看到映像名称、用户名、CPU占用、内存使用等几项,而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息,当系统出现莫名其妙的故障时,没准就能从它们中间找出突破口。
1.查杀会自动消失的双进程木马
前段时间朋友的电脑中了某木马,通过任务管理器查出该木马进程为“system.exe”,终止它后再刷新,它又会复活。进入安全模式把C:\windows\system32\system.exe删除,重启后它又会重新加载,怎么也无法彻底清除它。从此现象来看,朋友中的应该是双进程木马。这种木马有监护进程,会定时进行扫描,一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视,互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。
调出Windows任务管理器,首先在“查看→选择列”中勾选“PID(进程标识符)”,这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程,它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口,执行“taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令,可以看到这次终止的system.exe进程的PID为1536,它属于PID为676的某个进程。也就是说PID为1536的system.exe进程是由PID为676的进程创建的。返回任务管理器,通过查询进程PID得知它就是“internet.exe”进程。
找到了元凶就好办了,现在重新启动系统进入安全模式,使用搜索功能找到木马文件c:\windows\internet.exe ,然后将它们删除即可。前面无法删除system.exe,主要是由于没有找到internet.exe(且没有删除其启动键值),导致重新进入系统后internet.exe复活木马。
2.揪出狂写硬盘的P2P程序
这是一个结合了机器狗,AV终结者和利用MS08067漏洞攻击的复合型下载者病毒。近几天非常流行,并且预计该病毒在近期会成泛滥之势,希望大家注意!
这个NS下载器继承了机器狗病毒穿还原卡的功能;利用ARP攻击在局域网传播;同时,病毒还有扫荡波的特点,攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
以下是该病毒的某一变种的分析:
1.病毒运行后,会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe等进程,如果是则自身退出。
2.停止如下服务Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
3.之后生成如下文件:
%temp%\dll???.dll(???为随机数字)
4..Dll??.dll注入到svchost.exe中,并创建远程线程。(之前会获得系统时间,如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为:
这个NS下载器继承了机器狗病毒穿还原卡的功能;利用ARP攻击在局域网传播;同时,病毒还有扫荡波的特点,攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
以下是该病毒的某一变种的分析:
1.病毒运行后,会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe等进程,如果是则自身退出。
2.停止如下服务Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
3.之后生成如下文件:
%temp%\dll???.dll(???为随机数字)
4..Dll??.dll注入到svchost.exe中,并创建远程线程。(之前会获得系统时间,如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为:
病毒名称:Worm.Win32.AutoRun.dbp
病毒类型:蠕虫
文件MD5:A1AF3D5C37035B3D0AC5969F01FD0C7A
公开范围:完全公开
文件长度:85,504 字节
感染系统:Windows98以上版本
开发工具:Microsoft Visual C++
加壳类型:ASPack 2.12 -> Alexey Solodovnikov
病毒描述:该病毒为蠕虫类病毒,病毒运行后,获取KERNEL32.DLL基址,动态获取API函数、创建一个:Height=1 Width=1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏,修改进程权限、创建注册表病毒服务、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数打开一个网页链接,将创建的对话框设置为最小化,调用函数向该对话框传递消息,驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉。
行为分析-本地行为
1、获取KERNEL32.DLL基址,动态获取API函数、CreateDialogParamA创建一个MoveWindow:Height = 1 Width = 1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏。
2、文件运行后会释放以下文件
%system32%\Drivers\sudami.sys
3、修改进程权限、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数ShellExecuteA打开一个网页,将创建的对话框设置为最小化,调用函数向该对话框传递消息。
4、驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉,被遍历的安全软件进程及名字有:
病毒类型:蠕虫
文件MD5:A1AF3D5C37035B3D0AC5969F01FD0C7A
公开范围:完全公开
文件长度:85,504 字节
感染系统:Windows98以上版本
开发工具:Microsoft Visual C++
加壳类型:ASPack 2.12 -> Alexey Solodovnikov
病毒描述:该病毒为蠕虫类病毒,病毒运行后,获取KERNEL32.DLL基址,动态获取API函数、创建一个:Height=1 Width=1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏,修改进程权限、创建注册表病毒服务、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数打开一个网页链接,将创建的对话框设置为最小化,调用函数向该对话框传递消息,驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉。
行为分析-本地行为
1、获取KERNEL32.DLL基址,动态获取API函数、CreateDialogParamA创建一个MoveWindow:Height = 1 Width = 1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏。
2、文件运行后会释放以下文件
%system32%\Drivers\sudami.sys
3、修改进程权限、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数ShellExecuteA打开一个网页,将创建的对话框设置为最小化,调用函数向该对话框传递消息。
4、驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉,被遍历的安全软件进程及名字有:
