輸入法不見了怎么辦?最近各大網站論壇關于輸入法消失的求助信息猛增,一時間“輸入法”成為熱門的關鍵字。不同的這次不是哪個廠商推出了新的輸入法程序,而是黑客想借助“輸入法”盜取用戶賬號密碼。近日微點主動防御軟件自動捕獲了一種專門破壞電腦輸入法的“輸入法殺手”病毒,該病毒直接破壞電腦的輸入法程序,致使無法選擇和切換漢字輸入法,嚴重影響用戶正常的文字辦公。電腦感染該病毒后,除輸入法遭到破壞,病毒還假借“輸入法”之名,隨計算機自動啟動,然后自動連接網絡,到病毒作者指定的網站下載大量盜號木馬程序,盜取用戶游戲帳號、虛擬財產,實現賺取“黑金”的目的。
“輸入法殺手”病毒特征:
傳播方式:通過網頁掛馬、文件捆綁、共享文件夾、U盤等方式傳播。
特征:
1、電腦桌面的輸入法圖標不見了,導致無法選擇和切換輸入法,用戶無法輸入文字,即使在區域和語言設置—語言—詳細信息—文字服務和輸入語言—設置里面設置后也看不到圖標,輸入法也無法正常切換;
(圖一:中毒前)
(圖二:中毒后)
2、用戶電腦上程序運行速度明顯變慢,系統提示虛擬內存不足;
(圖三:中毒后系統提示)
3、部分安全軟件被關閉,迅雷等下載軟件無法正常使用,網絡速度明顯變慢;
4、 除系統盤符外所有盤符下包含exe文件的文件夾下均出現usp10.dll病毒文件,導致用戶即使重做系統也擺脫不了病毒的魔爪。(特別備注:usp10.dll文件利用“Windows”機制使用戶執行exe程序同時,加載“USP10.dll”,“USP10.dll病毒文件”將自動連網下載病毒。)
5、病毒在后臺自動連接網絡,到病毒作者指定網站下載大量盜號木馬程序,用于盜取主流網絡游戲帳號(完美系列游戲、魔獸世界、夢幻西游、大話西游onlineII、劍俠世界、封神榜II、魔域等)。
“輸入法殺手”病毒解決辦法:
方法一:安裝微點主動防御軟件。(http://www.huaicang.cn/mpdownload.php)
方法二:手工處理辦法
步驟一、開機按F8進入安全模式,然后調出系統的任務管理器,結束ctfmon.exe進程;
步驟二、使用u盤到其他正常主機系統下拷貝c:\windows\system32\ctfmon.exe、c:\windows\system32\drivers\beep.sys,然后插入中毒主機的安全模式系統下,把文件同時拷貝到c:\windows\system32\和c:\windows\system32\dllcache\目錄下替換原文件;
步驟三、開始運行輸入regedit打開
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\找到Hidden項修改值為1,SuperHidden項修改值為0,ShowSuperHidden項修改值為1;
步驟四、打開資源管理器,對硬盤進行全盤搜索usp10.dll(文件類型所有文件和文件夾),把搜索結果中除系統盤符目錄的其他盤符目錄下所有usp10.dll進行手工刪除處理;
步驟五、重復步驟四搜索oiiuasdfh.dll文件進行手工刪除處理;
步驟六、清空系統和IE臨時文件目錄下所有文件,并清空c:\windows\system32\drivers\etc\host文件內容。
微點專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過文件捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好各種漏洞補丁。
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御軟件將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御軟件都能夠有效清除該病毒。
更多“輸入法殺手”病毒的詳細分析請參考:
http://bbs.micropoint.com.cn/showthread.asp?tid=47343
捕獲時間
2009-2-3
病毒摘要
該樣本是使用“VC ”編寫的木馬下載器,由微點主動防御軟件自動捕獲,采用“FSG”加殼方式,試圖躲避特征碼掃描,加殼后長度為“39,245 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“網頁木馬”、“移動存儲介質”等方式傳播,病毒主要目的為下載大量木馬病毒至用戶主機。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.EDog.hl”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,將建立名為“puuyt”的互斥體,遍歷以下進程
| |
kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
kwatch.exe
ccenter.exe
ras.exe
rstray.exe
rsagent.exe
ravtask.exe
ravstub.exe
ravmon.exe
ravmond.exe
avp.exe
360safebox.exe
360Safe.exe
Thunder5.exe
rfwmain.exe
rfwstub.exe
rfwsrv.exe |
|
若發現以上進程,將釋放動態庫文件“oiiuasdfh.dll”至系統目錄%SystemRoot%目錄下,并調用系統“rundll32.exe”使用參數“EnumPageFile”加載“oiiuasdfh.dll”,加載成功后,提升權限至“SeDebugPrivilege”,修改系統文件“beep.sys”,恢復SSDT,使部分安全軟件的主動防御功能失效,嘗試調用下列命令進行關閉“avp.exe”進程:
| |
| taskkill /f /t /im avp.exe |
|
利用函數“TerminateProcess”嘗試關閉找到的進程,在注冊表“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\”下添加發現的進程與“Thunder5.exe”,進行映像劫持,鍵值均為:debugger,數據均指向:svchost.exe。
若發現“safeboxtray.exe”獲取360保險箱路徑,復制“oiiuasdfh.dll”至360保險箱目錄下,重命名為“rptup.dll”與“USP10.dll”,以參數“/u”打開“safeboxTray.exe”進程,配合模擬點擊,使360保險箱自我保護失效,實現保險箱卸載。
若發現“360tray.exe”則修改注冊表,關閉360安全衛士的監控,相關注冊表如下。
| |
項:HKLM\Software\360Safe\safemon
鍵: ExecAccess
指向數據:0
鍵: MonAccess
指向數據:0
鍵: LeakShowed
指向數據:0
鍵: SiteAccess
指向數據:0
鍵: UDiskAccess
指向數據:0
鍵: weeken
指向數據:0
鍵: ARPAccess
指向數據:0
鍵: IEProtAccess
指向數據:0 |
|
病毒還將嘗試調用其卸載程序“uninst.exe”將360安全衛士卸載。
修改注冊表,修改系統設置,使系統不顯示隱藏文件:
| |
鍵:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
值:Hidden
數據:2
值:SuperHidden
數據:1
值:Show SuperHidden
數據:0 |
|
釋放動態庫文件“1”至系統目錄“SystemDrive\Tasks”,遍歷除系統盤符外包括可移動磁盤的全部磁盤內的 “.exe”文件,在“*.exe”文件所在目錄內復制“1”為“USP10.dll”。利用“Windows”機制使用戶執行程序同時,加載“USP10.dll”,“USP10.dll”將訪問網絡地址:“http://www.h***-2.cn/down/gr.exe”下載病毒。
利用函數“TerminateProcess”,關閉“cmd.exe”,下載病毒文件列表“http://txt.h***e.com/oo.txt”,存儲至系統目錄“%SystemRoot%\system32\sadfasdf.jpg”,“sadfasdf.jpg”內容如下:
| |
[file]
open=y
url1=http://www.w**we.com/new/new1.exe
url2=http://www.w**we.com/new/new2.exe
url3=http://www.w**we.com/new/new3.exe
url4=http://www.w**we.com/new/new4.exe
url5=http://www.w**we.com/new/new5.exe
url6=http://www.w**we.com/new/new6.exe
url7=http://www.w**we.com/new/new7.exe
url8=http://www.w**we.com/new/new8.exe
url9=http://www.w**we.com/new/new9.exe
url10=http://www.w**we.com/new/new10.exe
url11=http://www.w**we.com/new/new11.exe
url12=http://www.w**we.com/new/new12.exe
url13=http://www.w**we.com/new/new13.exe
url14=http://www.w**we.com/new/new14.exe
url15=http://www.w**we.com/new/new15.exe
url16=http://www1.w**we.com/new/new16.exe
url17=http://www1.w**we.com/new/new17.exe
url18=http://www1.w**we.com/new/new18.exe
url19=http://www1.w**we.com/new/new19.exe
url20=http://www1.w**we.com/new/new20.exe
url21=http://www1.w**we.com/new/new21.exe
url22=http://www1.w**we.com/new/new22.exe
url23=http://www1.w**we.com/new/new23.exe
url24=http://www1.w**we.com/new/new24.exe
url25=http://www1.w**we.com/new/new25.exe
url26=http://www1.w**we.com/new/new26.exe
url27=http://www1.w**we.com/new/new27.exe
url28=http://www1.w**we.com/new/new28.exe
count=28 |
|
通過函數“URLDownloadToFile”下載列表上的病毒文件,釋放隨機名動態庫文件“2f9a09.dll”,利用函數“WinExec”執行下載的病毒文件。
創建驅動文件“1696”至“%Temp%”目錄,修改注冊表,創建服務項,加載“1696”,相關注冊表項如下:
| |
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\io
值:Type
數據:SERVICE_KERNEL_DRIVER
值:Start
數據:SERVICE_DEMAND_START
值:ImagePath
數據:%Temp%\1696
值:DisplayName
數據:io |
|
“1696” 為病毒制造者編寫的磁盤過濾驅動,病毒將修改“ctfmon.exe”將部分代碼寫入其中,操作完成后將刪除文件及服務。
訪問網絡地址下載:“http://txt.h***e.com/ad.jpg”,隨后病毒將使用文本文件“ad.jpg”,替換系統Host文件。
