病毒.名称:N/A(Kaspersky) ri�g,mv���
病毒别名:Backdoor.Jusi.i(瑞星) A�aOu��L,l
病毒大小:216,576 字节 P�b��4X\9^
加壳方式:SVKP M61�xPq8y5
样本MD5:e17774b70be4427768180286a6889fae =��p�O^7g
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d =�F~S���?y
传播方式:恶意网页、其它病毒下载 I\{ 1�u��
Q5`*3�h6p=
技术分析 �kQS�y+�q�
========== /QWvW=F2<�
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: ay
;S�4c/_
文件版本:5.2.3790.1830 u@UM�P@"#
描述:Generic Host Process for Win32 Services c
/H�Hy,
版权:(C) Microsoft Corporation. All rights reserved. ���?k&�V�y
产品.名称:Microsoft(R) Windows(R) Operating System ��L:�j<c�5
公司:Microsoft Corporation _x'�6�]f{n
木马运行后复制自身到系统目录: ,X-b�JA@�(
%System%NeroCheck.exe Gqv�pA�#
i
释放dll注入进程: '&tG�?g�b&
%System%NeroCheck.dll z�uad~%D<I
以及%System%SVKP.sys文件。 T{�.�pM4Hd
使用%temp%delmeexe.bat批处理删除自身: ?m}��s��4a
@echo off 3>�AMI��I
:loop /{aj}M0kN
del "exe" `l
^9/_g'6
del "%temp%delmeexe.bat" L-WT]�&n�_
if exist %temp%delmeexe.bat goto loop 字串9 ).�_�;�~z!
木马创建以下服务: z6=Z\P��+�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] Oi'5ytsE�S
显示名:Indexing Services _[c0�)2�h�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. =J�Ev,ZGT3
可执行文件的路径:%System%NeroCheck.exe 6:[dj*KGmT
清除步骤 V��U(v3^1"
========== fI�}t�o&qk
1. 删除木马的.服务项: -`��kW&�I0
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �W�0@n/�U�
2. 重新启动计算机 �%C�O�X7gV
3. 删除.木马文件: �eK?�MKe�
%System%NeroCheck.exe t��7Iv?5]N
%System%NeroCheck.dll HZC"�nb}r4
%System%SVKP.sys x.!V^HQSN
