病毒.名称:N/A(Kaspersky) {�wRs�V�=*
病毒别名:Backdoor.Jusi.i(瑞星) );�V6���YE
病毒大小:216,576 字节 f�n�
)m$\2
加壳方式:SVKP .v%H%z~Rl#
样本MD5:e17774b70be4427768180286a6889fae u�lV�)X/]1
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �%geiJ z�
传播方式:恶意网页、其它病毒下载 T>s~bIzL*e
F6R+E;"4R'
技术分析 5\}��A8�Ng
========== -�! Hn,93
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �0�&�2(1�
文件版本:5.2.3790.1830 HDZB)'��I�
描述:Generic Host Process for Win32 Services �abkl)X�>k
版权:(C) Microsoft Corporation. All rights reserved. W"+�*%�x�
产品.名称:Microsoft(R) Windows(R) Operating System _eM\ /(v[
公司:Microsoft Corporation vFL�Qq,?Nh
木马运行后复制自身到系统目录: )�#z�c$D^U
%System%NeroCheck.exe �cS�/\&%7u
释放dll注入进程: x2�/\%�!mt
%System%NeroCheck.dll ��a}�ogNx�
以及%System%SVKP.sys文件。 �XRC�iv� �
使用%temp%delmeexe.bat批处理删除自身: %�4Cs�
��c
@echo off �c�1M/:*?%
:loop ��{A]"�/AC
del "exe" ���72R|�zR
del "%temp%delmeexe.bat" ik)T>rY�g0
if exist %temp%delmeexe.bat goto loop 字串9 I~?��D^� �
木马创建以下服务: ^{nf0�)56c
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ��0�gw�0��
显示名:Indexing Services B)�g7M�G�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. js)M�
c*]&
可执行文件的路径:%System%NeroCheck.exe �%71�9h>$�
清除步骤 -j��dS8n4�
========== H�tB>��#`'
1. 删除木马的.服务项: 0]=�|3�-�n
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ����-iWt~�
2. 重新启动计算机 z^+f�3�-�Z
3. 删除.木马文件: Ac��}+U��q
%System%NeroCheck.exe �Ecp]f�UQK
%System%NeroCheck.dll Y��~#m�-�y
%System%SVKP.sys ]�3]I`e��{
