病毒.名称:N/A(Kaspersky) |o:�[*2-��
病毒别名:Backdoor.Jusi.i(瑞星) <h�Yr�cO�t
病毒大小:216,576 字节 v}$�s,j3NO
加壳方式:SVKP /�(aKhUjhb
样本MD5:e17774b70be4427768180286a6889fae W�WO@UL�GY
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d xn�yp'O8yk
传播方式:恶意网页、其它病毒下载 |�bHId�!d
�vYYLn9�}5
技术分析 Qp~�W|zi(
========== Fu
K�(S�P3
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: � qep<7 QO
文件版本:5.2.3790.1830 �L4�)@lmd3
描述:Generic Host Process for Win32 Services J�kc1�ih`^
版权:(C) Microsoft Corporation. All rights reserved. rCwjy&SuU^
产品.名称:Microsoft(R) Windows(R) Operating System
� J�i���>
公司:Microsoft Corporation n*4N%yI^m5
木马运行后复制自身到系统目录: if
S)
< t
%System%NeroCheck.exe �"� <GDO�L
释放dll注入进程: �\T�y�%E<�
%System%NeroCheck.dll M�5SAl�j�
以及%System%SVKP.sys文件。 aYjFR�H�`�
使用%temp%delmeexe.bat批处理删除自身: �h�b�6�UyN
@echo off Ws�A(�8Ck<
:loop �C$Y pk�\p
del "exe" {
.z6J)?J2
del "%temp%delmeexe.bat" $�
}�u,u�I
if exist %temp%delmeexe.bat goto loop 字串9 (Ea��)`�'/
木马创建以下服务: �=�5�JT�VF
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �bd��n�{Y�
显示名:Indexing Services C�q7EdK;�x
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. ��=�w�~phn
可执行文件的路径:%System%NeroCheck.exe J�,�8Wo�6�
清除步骤 xK`.�^�W�
========== </K"\��E�U
1. 删除木马的.服务项: -L9I;�]:KY
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ODG��OWw0�
2. 重新启动计算机 A��x�#�$z
3. 删除.木马文件: N�Fc@�Kz<H
%System%NeroCheck.exe GC{)3)�_ t
%System%NeroCheck.dll ��=�h~\nTN
%System%SVKP.sys 0��G(�T'Z1
