病毒.名称:N/A(Kaspersky)
�!��&SUoa
病毒别名:Backdoor.Jusi.i(瑞星) bM�kn(_H)\
病毒大小:216,576 字节 �"H%TOk7l�
加壳方式:SVKP ?)4|W�N|c_
样本MD5:e17774b70be4427768180286a6889fae cy^�6g?�ew
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d O%(:8nI�gZ
传播方式:恶意网页、其它病毒下载 �[ "��J���
j�c �Ie<i;
技术分析 RX�l5�2�#:
========== Ez<�J+�#)t
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: dW8'$!�@!!
文件版本:5.2.3790.1830 \^N9Q�9{7]
描述:Generic Host Process for Win32 Services WF�*2^iWJ�
版权:(C) Microsoft Corporation. All rights reserved. ;1��3�lu�1
产品.名称:Microsoft(R) Windows(R) Operating System <diI*H<��G
公司:Microsoft Corporation RF�g�$N@g,
木马运行后复制自身到系统目录: /o8`I
m ��
%System%NeroCheck.exe r�S(693�kb
释放dll注入进程: %� Oi�S�uw
%System%NeroCheck.dll <�po�(7XB
以及%System%SVKP.sys文件。 "St,���4�b
使用%temp%delmeexe.bat批处理删除自身: u�ZmfvM�r3
@echo off *1;�<xe�VD
:loop &giJO�-^
f
del "exe" ��<MvFAuAT
del "%temp%delmeexe.bat" vu�Dp_p*]S
if exist %temp%delmeexe.bat goto loop 字串9 1mI�)xD�i9
木马创建以下服务: ��l4R:�_Z<
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ;EL!Tz�L:8
显示名:Indexing Services ��n�V:.-JR
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. Y����fxZ<
可执行文件的路径:%System%NeroCheck.exe R�8o9$�&4_
清除步骤 �eSa ��]6�
========== *R�xb�qB-�
1. 删除木马的.服务项: �P�>4(�+s
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] /Pg66H#RUf
2. 重新启动计算机 ;�K$E;ZhPN
3. 删除.木马文件: X��5>p~;[9
%System%NeroCheck.exe J"6_H =s �
%System%NeroCheck.dll apGf@b���
%System%SVKP.sys �& r\z9! �
