病毒.名称:N/A(Kaspersky) �GoK�[tjb�
病毒别名:Backdoor.Jusi.i(瑞星) U�&uop$/Cq
病毒大小:216,576 字节 1d4?+[)gUv
加壳方式:SVKP ]D@_cxu�d3
样本MD5:e17774b70be4427768180286a6889fae 8%�q��H�y1
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d `J%iFm/5�*
传播方式:恶意网页、其它病毒下载 �+O 2H":�$
�9#CE m &c
技术分析 �t7"vAj�ZU
========== U�k=�-A
@q
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: f,'gQ5\ X3
文件版本:5.2.3790.1830 bcp+7b(IB�
描述:Generic Host Process for Win32 Services 1�Z5:�D�E<
版权:(C) Microsoft Corporation. All rights reserved. �[J'O5"��T
产品.名称:Microsoft(R) Windows(R) Operating System F�a�Ofe]�F
公司:Microsoft Corporation x4�&<V���r
木马运行后复制自身到系统目录: =�@�F�1�J7
%System%NeroCheck.exe ?=�X G#�we
释放dll注入进程: K�/+Y9JP�9
%System%NeroCheck.dll =}6yMR!4R<
以及%System%SVKP.sys文件。 �6��tC�0F=
使用%temp%delmeexe.bat批处理删除自身: y6�bl�&_��
@echo off Z� S�j�[GI
:loop �OaeGukhX&
del "exe" 6��6G�$5��
del "%temp%delmeexe.bat" =BN_Kvza^6
if exist %temp%delmeexe.bat goto loop 字串9 �)*�=d�s�,
木马创建以下服务: vR X_}`m8#
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] � \^$�g%a�
显示名:Indexing Services 95�
7C���r
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. ��8�.�S&J6
可执行文件的路径:%System%NeroCheck.exe �.�Du-~N4\
清除步骤 T2Q��`Ax7
========== �oDtg�B�O<
1. 删除木马的.服务项: �!Nu� ~�4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] Z%]s+V�)st
2. 重新启动计算机 \OV><|Lk�h
3. 删除.木马文件: yHY \�4OHS
%System%NeroCheck.exe �.�DzF�t�c
%System%NeroCheck.dll v#�#k�,R.d
%System%SVKP.sys t u��)kWDk
