桌面上多出来的usp10.dll是什么？

痛痛快快过了一段不能上网的日子，上班头一天发现很多人在问usp10.dll是什么。在cmd窗口中执行tasklist /m usp10.dll，你会发现很多程序在调用usp10.dll


显然，usp10.dll是系统文件，正常情况下你会在windowssystem32目录和windowssystem32dllcache目录发现usp10.dll。

应用程序通常是在当前目录和环境变量“set path=”指定的路径下寻找再调用DLL文件，春节期间很多网友在桌面或其它文件夹下发现了usp10.dll，这就是病毒做的手脚，病毒想做的就是 ——当你希望执行当前目录下的EXE程序时，病毒文件USP10.DLL会被加载。

这个病毒春节间已经被毒霸捕获过，是一个类似超级AV终结者的木马下载器，因为到处都是，被命名为“猫癣下载器”，目前发现这个东西的变种仍在持续更新中。已经中毒的用户推荐你使用金山系统急救箱和猫癣病毒专杀来解决

下载地址：
金山系统急救箱
http://bbs.duba.net/thread-21989211-1-1.html
山寨版猫癣专杀
http://bbs.duba.net/thread-22018390-1-1.html

以下是其中一个变种的分析报告，供参考
一、样本概述
1.1 基本信息
样本文件名：sample_496E01.v
病毒名：Win32.Troj.DropRootKit.a.143360 （毒霸）
类型：下载者

1.2 释放文件
%windir%jiocs.dll
%windir%Tasks1
%tmp%98989898
%sys32dir%sadfasdf.jpg
%sys32dir%ctfmon.exe
注：%windir% 对应于 C:windows
     %sys32dir%对应于C:windowssystem32

二、病毒行为
2.1 释放usp10.dll挟持常用软件
遍历非系统所在目录的所有驱动器，凡发现目录中存在exe后缀的文件，则将%windir% asks1文件拷贝过去，命名为usp10.dll。牢牢抓住普通用户的使用习惯，导致即使重装系统病毒还会重新启动

2.2 调用TerminateProcess 结束安全软件的驻留进程，列表如下
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe   rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe   360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe

2.3 添加对迅雷的映像劫持使迅雷无法启动，具体如下：
HKLMSOFTWAREMicrosoftWindows NTCurrentVersion
Image File Exe