最近“犇牛”木马下载器进入网民的视线,360安全中心最早发出警告,提醒网民对该病毒的注意。然而,该病毒还是以其强大的进攻手段进入了网民的视线。
【相关报道】
2月3日,360安全中心紧急发布公告,称“D牛”木马下载器已袭击了数十万台电脑,并能导致大部分安全软件失效,用户采用重装系统等常规手段也无法解决。
根据大批受害用户的反映,感染“D牛”下载器的电脑系统速度会明显变慢,非系统盘的根目录及所有文件夹目录中同时出现“usp10.dll”文件。部分用户的电脑感染“D牛”后还会出现弹出大量广告网页、杀毒软件遭强制卸载、“QQ医生”显示为“叉号”无法正常使用等各种症状,并会自动下载大量木马病毒。受害用户除非将所有硬盘分区全盘格式化,否则即便重装系统后“D牛”仍能踏蹄重来。
据360安全专家石晓虹博士介绍,“D牛”采用了劫持dll文件的技术,在系统重装后仍能“复活”,完全不同于其它恶性木马常用的“复活”方式,使普通用户很难用以往的系统重装方式来“自救”;同时,“D牛”非常阴险地将某个系统文件悄悄替换,使杀毒软件的常规查杀技术失效,进一步增强了自我保护能力;此外,“D牛”还使用了一个名为“安软杀手”的帮凶对主流杀软进行卸载和破坏,屏蔽安全厂商的网站,并能导致迅雷等下载软件失效,致使受害用户无法通过登录安全网站或下载安全软件获得帮助。更有意思的是,“犇牛”新变种视受害用户的电脑为“独食”,通过屏蔽其它木马的下载域名等方式,排斥和打压其它木马,以达到“独占地盘”的目的,其行为特征有如网上黑社会。
【简要特征】
C:Documents and SettingsAdministratorLocal Settings目录始终隐藏 无法查看系统隐藏目录病毒会将病毒文件释放到C:Documents and SettingsAdministratorLocal SettingsTemp里面 规律是 随机生成纯数字的无格式文件
并且所有存在EXE文件的目录都会出现一个隐藏的USP10.DLL 所有EXE文件被感染 也就是运行任何一个应用程序都会启动这个dll
【对该病毒的解决体验】
360安全中心推出的“木马查杀大全”已经升级最新版本,据说可以完全杀灭该病毒,然而据测试却不然,“木马查杀大全”虽可部分解决该病毒的问题,但还不能完全消灭该病毒的症状,我们认为360安全中心任需要继续升级该软件,对注册表的部分内容加以修复。并且现有变种会致使360的“木马查杀大全”无法运行。
其他杀毒软件在遭遇该病毒后会别强制卸载,瑞星杀毒软件所特有的验证码识别可以避免这一结果,但仍免不了使其杀毒失效。
【解决方案】
首先建议大家设置杀毒软件的密码功能,修改或卸载杀毒软件需要密码验证,这可以在很大程度上避免杀毒软件被屏蔽。
一、由于中毒后系统变慢,即使杀毒软件不失效也很难能使用,所以还是建议大家重装系统(注意重装系统并不能彻底解决该病毒)。
二、若不能重装系统先使用360木马专杀清理系统(360木马专杀要求使用联网模式,并且强力查杀,然而在联网模式下犇牛下载器会不断下载病毒,所以这里还是建议重装,快速清理系统盘)
三、到 http://www.lonyel.com/zhuanti/gongju.htm 下载安全工具:修复显示隐藏文件 和
修复XP-sp2无法进入安全模式(如果你的系统为XP-SP2),讲这俩个注册表项导入注册表。
四、打开搜索(按F3键),再从“工具”->“文件夹选项”->“查看”->把“隐藏受保护的操作系统文件(推荐)”关闭以及选择“显示所有文件和文件夹”。
之后在搜索栏填入“usp10.dll”全盘符搜索。记住,C:Windowssystem32下的usp10.dll 和C:windowssystem32dllcache下的usp10.dll不是病毒,其余文件夹的全都是。
搜索完毕之后可以全部删除了。但是,在这里要说明的是,一个在C:windows下的usp10.dll不能以原名删除,可以选择改变其名称,后缀随便是什么。改完之后重新搜索你刚才改的名字,搜到后删除即可。
回到windows界面下,试着再搜索,如果又找到,再继续回到安全模式下删除。
五、新建一个记事本文档,输入下面的代码,保存reg格式,导入文件就ok了,重新启动电脑,这样病毒就不会通过其他的可执行文件感染了
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs]
"usp10"="usp10.dll"
"DllDirectory"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f, 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,00,00
【对第五步的解释】
之所以病毒释放usp10.dll,是用了DLL劫持技术,该病毒全盘查找有exe文件的文件夹,释放usp10.dll 当exe运行时,系统会根据他的导入表为他加载他需要的DLL,而查找这个DLL是有优先级的,即先从当前目录中查找,如果当前目录不存在,再从windowssystem32中查找,病毒就通过了这点小技巧劫持了系统的usp10.dll,运行了自身。 这也是病毒实行反复感染的手段,即使你重装了系统盘,当你运行其他的盘的可执行文件时,就运行了病毒,我们是不是有什么手段破坏这个加载次序。 先看看微软的知识库里的knowdlls的解释
引用:
With the KnownDLLs registry entry, Windows NT uses the following search order to locate the DLL:
1. The WINNTSYSTEM32 directory.
2. The directory of the executable for the process that is loading the DLL.
3. The current directory of the process that is loading the DLL.
4. The WINNT directory. 5. A directory listed in the PATH environment variable. 引用:
操作系统提供的某些DLL得到了特殊的处理。这些DLL称为已知的DLL。它们与其他DLL基本相同,但是操作系统总是在同一个目录中查找它们,以便对它们进行加载操作。在注册表中有下面的关键字: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnowDlls 当LoadLibrary或LoadLibraryEx被调用时,这些函数首先查看是否传递了包含.dll扩展名的DLL名字。如果没有传递,那么它们将使用通常的搜索规则来搜索DLL。如果确实设定了.dll扩展名,那么这些函数将删除扩展名,然后搜索注册表关键字KnownDLL,以便确定它是否包含匹配的值名字。如果没有找到匹配的名字,便使用通常的搜索规则。但是,如果找到了匹配的值名字,系统将查找相关的值数据,并设法使用值数据来加载DLL。系统也开始在注册表中的DllDirectory值数据指明的目录中搜索DLL。按照默认设置,DllDirectory默认的值的数据是%SystemRoot%System32。
【关于该病毒的预防】
由于该病毒现在已经得到了广大安全厂商的关注,所以只要保证软件的最新,并且开启网页监控功能基本可以预防本病毒。
(文章来源:蓝野网络防毒,转载请注明)
评论前必须登录!
注册