Sunday, February 08, 2009

USP10.dll病毒詳解與查殺攻略

USP10.dll病毒詳解與查殺攻略

作者:shazi1896 日期:2009-02-02

認識USP10.dll:
USP是Unicode Scripts Processor的簡稱,意思就是“Unicode文字系統處理器”。它是微軟開發的Windows作業系統為正確演示Unicode文字而開發的元件,系統的核心即一個名為USP10.DLL的DLL。它從Windows 2000開始連同Windows一起捆綁,Win 9x的用戶在更新至Internet Explorer 5.0之後,系統亦會安裝有本元件。USP的當前最新版本是隨同Windows Server 2008 RTM、Windows Vista SP1等所附帶的1.626.6001.18000。
USP主要包括以下的部件:
1.把文字從輸入次序重排成為顯示次序
2.把文字按前文後理作出適當的變換
3.按文字顯示的方向作出字元的替換
雖然Uniscribe從Windows 2000開始隨系統提供,但不同版本的Uniscribe對各地不同的文字有不同的支援:最初的版本只支持泰語、越南語,之後到希伯來語和阿拉伯語。從Windows XP開始支援幾個主要的南亞文字及亞述語,但僧加羅語、高棉語、緬甸語及各種使用蒙古文字的語言,由於他們的具體編碼方式在Windows XP推出時還未落實,因此未能正式支持。現時不少為這些語言而設計的軟體,在USP10.dll未更新之前,都不能正確操作。
總結一下:
DLL文件:usp10或者usp10.dll
DLL名稱:Uniscribe Unicode script processor
描述:usp10.dll是字元顯示腳本應用程式介面相關檔。
屬於:Uniscribe
系統 DLL檔:是
常見錯誤:File Not Found, Missing File, Exception Errors
USP10.dll病毒原理:
正常的USP10.dll是字元顯示腳本應用程式介面相關檔,存在於C:\WINDOWS\system32\USP10.dll,也有可能存在於C:\WINDOWS\system32\dllcache\USP10.dll
usp10.dll木馬病毒則是利用window系統目錄優先權來啟動。
首先來說說這個目錄優先權,windows系統在執行一個檔時,首先會在“當前目錄”查找所要執行的檔,如果當前目錄不存在這個檔,就會到windows\system32\下去查找,如果還是不存在,就會到windows\目錄下去查找,如果還是不存在就會在環境變數PATH中的目錄下去查找,這個就是windows目錄優先權。
這裏還要告訴大家是,一個exe檔執行會調用系統不少的DLL。
瞭解了這個目錄優先權和exe應用程式執行時會調用系統dll後,不少朋友可能都已經想到了,這個USP10.dll為什麼會把自身大量複製到每個可執行檔同目錄下,為什麼會取名為USP10.dll?對,複製自身就是讓可執行檔在執行的時候搶佔目錄優先權,而命名為USP10.dll是因為在windows\system32\也有個USP10.dll,很多應用程式啟動時都會調用這個dll,這就是這個USP10.dll病毒的啟動原理了。
USP10.dll病毒手動查殺:
首先打開“我的電腦”,選擇功能表欄“工具”下的“檔夾選項”,去掉“隱藏受保護的作業系統檔(推薦)”前邊的勾,再勾選“顯示所有檔和檔夾”。這樣做是因為這個USP10.dll病毒把自身修改為系統檔和隱藏檔,正常情況下是看不到的。
USP10.dll病毒會感染系統裏所有exe檔,並且把自身複製到被感染exe檔的當前目錄。
所以大家需要到安全模式去刪除病毒,在安全模式下,病毒還是會駐留在某些系統進程裏,這裏不用害怕,我們來一步步消滅這可惡的病毒。
在開始功能表選擇“搜索”,點擊“所有檔和檔夾”,在“全部或部分檔案名”裏寫上“usp10.dll”,然後直接點“搜索”,系統會搜索出所有盤符下的USP10.dll病毒。
注意:C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll目錄檔的不是病毒,其他的都是,等把所有usp10.dll搜索出來後,就刪除掉。C:\WINDOWS\USP10.dll可能一時刪不了,這個也是病毒,只是還有進程在使用他,我們可以先給他改個名字,重命名一下,只要不是usp10.dll就可以,然後重新啟動,再回到C:\WINDOWS\把你剛改的名字的病毒刪掉就可以了。當然可以借助冰刃(http://www.2000xg.com/article.asp?id=567)工具。
這裏我總結下:C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll不能刪,其他usp10.dll都刪除,C:\WINDOWS\USP10.dll可能一時刪不了,重命名後刪除。
如果您還覺得不放心,可以在註冊表查詢USP10.dll,刪除可疑項目。
注意:此方法有個缺陷,即病毒雖然被查殺,但系統檔也已經遭到破壞。所以推薦下邊的查殺方法。
來自瑞星卡卡安全論壇的查殺方法:
1、http://bbs.ikaka.com/showtopic-8592261.aspx
2、http://bbs.ikaka.com/showtopic-8589597.aspx
按照相關指示進行操作,步驟比較簡單,大家都可以看懂,我就不贅述了。
總結:目前此病毒還在進一步的蔓延,而各安全廠商也沒有給出專殺工具,作為我們普通線民,就需要多費點腦力體力,儘量保護我們的電腦!祝大家好運!

http://www.2000xg.com/default.asp?id=976