廊坊电脑维修上班头一天发现很多人在问usp10.dll是什么。在cmd窗口中执行tasklist /m usp10.dll，你会发现很多程序在调用usp10.dll

　　 显然，usp10.dll是系统文件，正常情况下你会在windows\system32目录和windows\system32\dllcache目录发现usp10.dll。

　　应用程序通常是在当前目录和环境变量“set path=”指定的路径下寻找再调用DLL文件，春节期间很多网友在桌面或其它文件夹下发现了usp10.dll，这就是病毒做的手脚，病毒想做的就是 ——当你希望执行当前目录下的EXE程序时，病毒文件USP10.DLL会被加载。

　　这个病毒春节间已经被毒霸捕获过，是一个类似超级AV终结者的木马下载器，因为到处都是，被命名为“猫癣下载器”，目前发现这个东西的变种仍在持续更新中。已经中毒的用户推荐你使用金山系统急救箱和猫癣病毒专杀来解决

　　下载地址：
　　金山系统急救箱
　　http://bbs.duba.net/thread-21989211-1-1.html
　　山寨版猫癣专杀
　　http://bbs.duba.net/thread-22018390-1-1.html

　　以下是其中一个变种的分析报告，供参考
　　一、样本概述
　　1.1 基本信息
　　样本文件名：sample_496E01.v
　　病毒名：Win32.Troj.DropRootKit.a.143360 （毒霸）
　　类型：下载者

　　1.2 释放文件
　　%windir%\jiocs.dll
　　%windir%\Tasks\1
　　%tmp%\98989898
　　%sys32dir%\sadfasdf.jpg
　　%sys32dir%\ctfmon.exe
　　注：%windir% 对应于 C:\windows
　　%sys32dir%对应于C:\windows\system32

　　二、病毒行为
　　2.1 释放usp10.dll挟持常用软件
　　遍历非系统所在目录的所有驱动器，凡发现目录中存在exe后缀的文件，则将%windir%\tasks\1文件拷贝过去，命名为usp10.dll。牢牢抓住普通用户的使用习惯，导致即使重装系统病毒还会重新启动

　　2.2 调用TerminateProcess 结束安全软件的驻留进程，列表如下
　　kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
　　ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
　　ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
　　rfwmain.exe rfwstub.exe rfwsrv.exe

　　2.3 添加对迅雷的映像劫持使迅雷无法启动，具体如下：
　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
　　\Image File Execution Options\Thunder5.exe
　　"Debugger" REG_SZ "svchost.exe"

　　2.4 调用360保险箱卸载参数卸载360保险箱。并通过修改注册表关闭360监控

　　2.5 创建线程关闭冰刃之类的安全软件窗口和更改显示隐藏文件
　　若当前窗口的class为"AfxControlBar42s"，则向此窗口发送WM_CLOSE消息，并模拟键盘的回车键。
　　修改以下注册表键值，来不显示隐藏文件
　　HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
　　"Hidden" REG_DWORD 0
　　"SuperHidden" REG_DWORD 0
　　"ShowSuperHidden" REG_DWORD 0

　　2.6 释放病毒启动，并尝试直接替换输入法程序ctfmon.exe

　　2.7 下载大量盗号木马病毒到用户电脑