病毒.名称:N/A(Kaspersky) @g|E�b�}t�
病毒别名:Backdoor.Jusi.i(瑞星) S312h'�K
j
病毒大小:216,576 字节 �F?j;3@z[A
加壳方式:SVKP 4m++�>��q�
样本MD5:e17774b70be4427768180286a6889fae ^+�E�z[S{8
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �ejj|l�
��
传播方式:恶意网页、其它病毒下载 >:l;�W�4�j
���o��o\0X
技术分析 YJgw%UVJ5m
========== JL~Q�E-pvD
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: b`�Wn9�8s
文件版本:5.2.3790.1830 z-G|EAON"/
描述:Generic Host Process for Win32 Services �
&��y1' J
版权:(C) Microsoft Corporation. All rights reserved. jE�)&`y�Z5
产品.名称:Microsoft(R) Windows(R) Operating System Hg�G-r&r!2
公司:Microsoft Corporation &f�BLPF%�6
木马运行后复制自身到系统目录: %g�d=d�0vm
%System%NeroCheck.exe 5��,:��tjn
释放dll注入进程: G9\Bi-'ul�
%System%NeroCheck.dll Y""-�U3;T~
以及%System%SVKP.sys文件。 c�v�n4Q-�^
使用%temp%delmeexe.bat批处理删除自身: xG<H�${
k;
@echo off ��:"��Z�H�
:loop �u>;#�.N/�
del "exe" �S=O/W(�ZB
del "%temp%delmeexe.bat" T:��0�X�-U
if exist %temp%delmeexe.bat goto loop 字串9 2G"mm�(� �
木马创建以下服务: �gnbs^K �w
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ��.v���RLK
显示名:Indexing Services &�J|3uY,'j
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. 3j.�Ft*SV
可执行文件的路径:%System%NeroCheck.exe ]Un�Z�c���
清除步骤 �Xu�#\CYk�
========== _�>HX�Q6Hw
1. 删除木马的.服务项: TX{�DZ�#�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] +3�e(�psdg
2. 重新启动计算机 �]B>Y
��+�
3. 删除.木马文件: $Aww�5G5e�
%System%NeroCheck.exe �{�!� RW*B
%System%NeroCheck.dll �JH�2?^h|{
%System%SVKP.sys c�L*D�_)?8
