病毒.名称:N/A(Kaspersky) XL!\Lx
病毒别名:Backdoor.Jusi.i(瑞星) EG=~0j ~
病毒大小:216,576 字节 'u"r^o?
加壳方式:SVKP 5X"y46i,H
样本MD5:e17774b70be4427768180286a6889fae `s[77V>
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d >IZ|:lsxE
传播方式:恶意网页、其它病毒下载 HCj/x<*F
2|a@,TW}-
技术分析 EPO*{bN7O
========== fd Vye|%
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: |Uf[x[
文件版本:5.2.3790.1830 ynkPI6o
描述:Generic Host Process for Win32 Services m]}%Ag^x
版权:(C) Microsoft Corporation. All rights reserved. yx v]G6
产品.名称:Microsoft(R) Windows(R) Operating System 4n1-@qTPF~
公司:Microsoft Corporation P!uwhha/g
木马运行后复制自身到系统目录: St9+/Md=jQ
%System%NeroCheck.exe @log=^
释放dll注入进程: ruqx#]-
%System%NeroCheck.dll (y^[k {#
以及%System%SVKP.sys文件。 Hzos$1DJ
使用%temp%delmeexe.bat批处理删除自身: rID_^g_tP8
@echo off fg[]>:ZT.
:loop [}p/pj=
del "exe" |n9q4*dN
del "%temp%delmeexe.bat" "v%|&@
if exist %temp%delmeexe.bat goto loop 字串9 bBwMx{iNNz
木马创建以下服务: F|Y}X|x8Q
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] Gvo|uB#
显示名:Indexing Services z>n<+tso
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. ]{2Eo
可执行文件的路径:%System%NeroCheck.exe &RSUB;ymL
清除步骤 Vs/Z8t
========== vsFRWpq
1. 删除木马的.服务项: UXU!sd
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] BbCt_z'
2. 重新启动计算机
N\Nw mx
3. 删除.木马文件: [X9s\H
%System%NeroCheck.exe X?3?R\/
%System%NeroCheck.dll 0iy-FV;J
%System%SVKP.sys ,B^NH7A: