病毒.名称:N/A(Kaspersky) K`d3�p{�M
病毒别名:Backdoor.Jusi.i(瑞星) 7Yjxx+X9��
病毒大小:216,576 字节 ���;zl��/
加壳方式:SVKP F�I��I�>6c
样本MD5:e17774b70be4427768180286a6889fae �R�.+y�VO2
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d {<��_9Q�AS
传播方式:恶意网页、其它病毒下载 iT�q~�^9G�
hm5�A@Z �
技术分析 /��Dn�����
========== \jcEEIE��i
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: ��b2vc���
文件版本:5.2.3790.1830 >�X�(,(mKi
描述:Generic Host Process for Win32 Services .�O+��qtk!
版权:(C) Microsoft Corporation. All rights reserved. ]CI����ZF,
产品.名称:Microsoft(R) Windows(R) Operating System @`X-=G�C�l
公司:Microsoft Corporation
L�b�e�MP�
木马运行后复制自身到系统目录: �$�*u{i�4b
%System%NeroCheck.exe �,B<Tt|'
释放dll注入进程: &3�;yho8v@
%System%NeroCheck.dll P!�J�RI��w
以及%System%SVKP.sys文件。 }ST0?_0F*�
使用%temp%delmeexe.bat批处理删除自身: ��`*1059 �
@echo off ^9Je8 @Yu
:loop ���@Fl&@ $
del "exe" cKj�6tT"=O
del "%temp%delmeexe.bat" ����[Bz'c1
if exist %temp%delmeexe.bat goto loop 字串9 H@8g 9��;+
木马创建以下服务: UkY
`&&ic�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] &x�wA�E�*}
显示名:Indexing Services 7
i�|_�PP_
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �;�7�]Q'�N
可执行文件的路径:%System%NeroCheck.exe G��*�f5�B
清除步骤 �2� #�+g4�
========== VK�)K#!O8
1. 删除木马的.服务项: 5_mb+A n,�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 1Jx|��0YmO
2. 重新启动计算机 wP��l!}HNf
3. 删除.木马文件: �o5N];�Nj
%System%NeroCheck.exe M!s@w�%0?'
%System%NeroCheck.dll \q��8�D7/q
%System%SVKP.sys =lf&mD�
_/
