病毒.名称:N/A(Kaspersky) W�X`wz>KK^
病毒别名:Backdoor.Jusi.i(瑞星) �^vv��1cft
病毒大小:216,576 字节 �D�HyQ:0q
加壳方式:SVKP T-lP�=KF�=
样本MD5:e17774b70be4427768180286a6889fae Uq��x�@9z(
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d oK<H/76��x
传播方式:恶意网页、其它病毒下载 tNOOaj9mw�
*l�u�*h&Y�
技术分析 �O*N:.|dUw
========== beT[7u�Vj_
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �:/Z1$��xS
文件版本:5.2.3790.1830 0B2f[��A��
描述:Generic Host Process for Win32 Services "4T36���b
版权:(C) Microsoft Corporation. All rights reserved. s<:)�;-t�L
产品.名称:Microsoft(R) Windows(R) Operating System bl���P8"(U
公司:Microsoft Corporation �N�Xz/1ut%
木马运行后复制自身到系统目录: JDp=�w,7LF
%System%NeroCheck.exe gx�e�u2�HG
释放dll注入进程: nE0�I�[�T(
%System%NeroCheck.dll �:uqEGnEut
以及%System%SVKP.sys文件。 %U�.x��9UL
使用%temp%delmeexe.bat批处理删除自身: J�y[rA�<x$
@echo off P1�]F0�fR
:loop $]W*;M�TI}
del "exe" &uV|Ie8@q�
del "%temp%delmeexe.bat" �jRO�h3kq�
if exist %temp%delmeexe.bat goto loop 字串9 X4Uy3�TV>�
木马创建以下服务: ^�vzXT>t-M
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �[Z�;H=��`
显示名:Indexing Services jaVx9FR��+
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. U[q3��9F�R
可执行文件的路径:%System%NeroCheck.exe �:xO4��3�z
清除步骤 �T
:^OW5�d
========== :RYYjmG5;
1. 删除木马的.服务项: ����n$>_2v
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] "�]�=X�B0)
2. 重新启动计算机 �EiDpy#f}
3. 删除.木马文件: V�' �i��@N
%System%NeroCheck.exe zxd�<C�q>d
%System%NeroCheck.dll unnuSW#v=�
%System%SVKP.sys p]to�Dy-}
