病毒.名称:N/A(Kaspersky) {7v�gHutp�
病毒别名:Backdoor.Jusi.i(瑞星) <5�7g�{e0I
病毒大小:216,576 字节 \V]t!mZ-}l
加壳方式:SVKP tY��/En-&t
样本MD5:e17774b70be4427768180286a6889fae i<%m I�q1L
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d C<_�Urnm�n
传播方式:恶意网页、其它病毒下载 60"�5?=D�
B�k,2WtVX�
技术分析 q�75ky1^1:
========== (tep�mcf��
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �s(t��eQ\�
文件版本:5.2.3790.1830 d�9O�:,DKf
描述:Generic Host Process for Win32 Services �c��Zq�fz
版权:(C) Microsoft Corporation. All rights reserved. *kP;{�C�b`
产品.名称:Microsoft(R) Windows(R) Operating System 8tU>DJ}��0
公司:Microsoft Corporation m��ge#YV::
木马运行后复制自身到系统目录: Hm�vsYP66
%System%NeroCheck.exe ��h�M?`x(P
释放dll注入进程: J*5hf:��?i
%System%NeroCheck.dll _B)s�=Snx�
以及%System%SVKP.sys文件。 �N�epi�|�{
使用%temp%delmeexe.bat批处理删除自身: BU`�ckK�\(
@echo off )X/*�($SuA
:loop >t�N��5vWW
del "exe" wHf�&�R3fg
del "%temp%delmeexe.bat" %NNj9Bl<VV
if exist %temp%delmeexe.bat goto loop 字串9 D�KX/W+#a�
木马创建以下服务: W�3)���\co
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 7%e1c�I�
显示名:Indexing Services TN5>"�?�?"
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. oz L�H�]�*
可执行文件的路径:%System%NeroCheck.exe eNtf#Rq�ym
清除步骤 FC{})|yh
}
========== t<Ot|E���x
1. 删除木马的.服务项: xk�& N�A�B
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] <Z},A-\S*
2. 重新启动计算机 zX�9�8�c�
3. 删除.木马文件: wTxbDT@�H5
%System%NeroCheck.exe �yO00I��`5
%System%NeroCheck.dll "?35�C�
�!
%System%SVKP.sys �F%
`zs\�
