USP10.dll病毒行为
1 释放usp10.dll挟持常用软件
遍历非系统所在目录的所有驱动器,凡发现目录中存在exe后缀的文件,则将%windir%\tasks\1文件拷贝过去,命名为usp10.dll。牢牢抓住普通用户的使用习惯,导致即使重装系统病毒还会重新启动
2 调用TerminateProcess 结束安全软件的驻留进程,列表如下
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe
3 添加对迅雷的映像劫持使迅雷无法启动,具体如下:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\Thunder5.exe
"Debugger" REG_SZ "svchost.exe"
4 调用360保险箱卸载参数卸载360保险箱。并通过修改注册表关闭360监控
5 创建线程关闭冰刃之类的安全软件窗口和更改显示隐藏文件
若当前窗口的class为"AfxControlBar42s",则向此窗口发送WM_CLOSE消息,并模拟键盘的回车键。
修改以下注册表键值,来不显示隐藏文件
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" REG_DWORD 0
"SuperHidden" REG_DWORD 0
"ShowSuperHidden" REG_DWORD 0
6 释放病毒启动,并尝试直接替换输入法程序ctfmon.exe
7 下载大量盗号木马病毒到用户电脑
