病毒.名称:N/A(Kaspersky) DNL��qipUw
病毒别名:Backdoor.Jusi.i(瑞星) ;�}� T�y b
病毒大小:216,576 字节 Z8�z.���Xn
加壳方式:SVKP U�$#� ?Lw�
样本MD5:e17774b70be4427768180286a6889fae �TlQ#0_as[
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �X�b?P'n�D
传播方式:恶意网页、其它病毒下载 ?`u��Y*+u�
Eu �l,�1yR
技术分析 (6�^v`SZ��
========== ��Al��5E�
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: r�s]%`"�&=
文件版本:5.2.3790.1830 g&`e2��|[7
描述:Generic Host Process for Win32 Services #[qm�hU�{s
版权:(C) Microsoft Corporation. All rights reserved. =n
cu#�T]
产品.名称:Microsoft(R) Windows(R) Operating System 8l~]�}2LAs
公司:Microsoft Corporation ltwX-� ���
木马运行后复制自身到系统目录: aiF7�\^aw$
%System%NeroCheck.exe �-ce N}Cb3
释放dll注入进程: 2�h I�M!wQ
%System%NeroCheck.dll i,8h�
B(M!
以及%System%SVKP.sys文件。 i�'��H{cN6
使用%temp%delmeexe.bat批处理删除自身: {SY���@7G]
@echo off /[q6"R!uMz
:loop z{]�$WVs:^
del "exe" CJ�8X��Ky
del "%temp%delmeexe.bat" ����?k TVC
if exist %temp%delmeexe.bat goto loop 字串9 }cn46��L%/
木马创建以下服务: `�J'xV�q#O
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] *l)_&�p���
显示名:Indexing Services ?S�~H��nIn
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. dPc�*!xrq�
可执行文件的路径:%System%NeroCheck.exe 5@�%$M$��E
清除步骤 MT�[V1I{LV
========== ��Nv,1��F
1. 删除木马的.服务项: 5k)Qj�Zo��
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] a��:r8Jzr
2. 重新启动计算机 �f-F+Y`��P
3. 删除.木马文件: 3�=RV�J��b
%System%NeroCheck.exe |F�=!0�Id<
%System%NeroCheck.dll U�r6UE�2��
%System%SVKP.sys 8`v+��yHjG
