SpeW - 2009-1-31 15:52:00
其实这个病毒的启动原理很简单,利用的是window系统目录优先权来启动的,首先我来说说这个目录优先权,windows系统在执行一个文件时,首先会在"当前目录"查找所要执行的文件,如果当前目录不存在这个文件,就会到windows\system32\下去查找,如果还是不存在,就会到windows\目录下去查找,如果还是不存在就会在环境变量PATH中的目录下去查找,这个就是windows目录优先权。
这里还要告诉大家就是,一个exe文件执行会调用系统不少的DLL。
好了,我们了解了这个目录优先权和exe应用程序执行时会调用系统dll后,不少朋友可能都已经想到了,这个USP10.dll为什么会把自身大量的复制到每个可执行文件同目录下?为什么会取名为USP10.dll,对!复制自身就是让可执行文件在执行的时候抢占目录优先权,而命名为USP10.dll是因为在windows\system32\也有个USP10.dll,很多应用程序启动时都会调用这个dll,这就是这个USP10.dll病毒的启动原理了。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )
rstgl - 2009-1-31 20:44:00
类似USP10这样的每个程序都要加载的DLL有很多,有什么办法能防住这一类启动的病毒呢?不知道用木马行为编辑器能不能防?
SpeW - 2009-1-31 22:15:00
原帖由 rstgl 于 2009-1-31 20:44:00 发表
类似USP10这样的每个程序都要加载的DLL有很多,有什么办法能防住这一类启动的病毒呢?不知道用木马行为编辑器能不能防?
你去下我编的规则 里面的疑似木马群规则就是专门针对这类病毒编的
http://bbs.ikaka.com/showtopic-8591420.aspx
aaccbbdd - 2009-1-31 22:22:00
path路径
执行顺序
软件目录
system32
system
WINDOWS
webm
:default6:
不过已经发现病毒替换system32的情况了:default6:
SpeW - 2009-1-31 22:25:00
原帖由 aaccbbdd 于 2009-1-31 22:22:00 发表
path路径
执行顺序
软件目录
system32
system
WINDOWS
webm
:default6:
不过已经发现病毒替换system32的情况了:default6:
啥子意思? 把整个system32文件夹都替换了?:default3:
aaccbbdd - 2009-1-31 22:31:00
不是呀
是system32的psapi.dll
usp10.dll等几个文件
SpeW - 2009-1-31 22:34:00
我在规则包里早就做了防替换系统文件的规则了 哈哈...... 挺有先见是明的:default6:
© 2000 - 2025 Rising Corp. Ltd.