病毒.名称:N/A(Kaspersky) DNLqipUw
病毒别名:Backdoor.Jusi.i(瑞星) ;} Ty b
病毒大小:216,576 字节 Z8z.Xn
加壳方式:SVKP U$# ?Lw
样本MD5:e17774b70be4427768180286a6889fae TlQ#0_as[
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d Xb?P'nD
传播方式:恶意网页、其它病毒下载 ?`uY*+u
Eu l,1yR
技术分析 (6^v`SZ
========== Al5E
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: rs]%`"&=
文件版本:5.2.3790.1830 g&`e2|[7
描述:Generic Host Process for Win32 Services #[qmhU{s
版权:(C) Microsoft Corporation. All rights reserved. =n
cu#T]
产品.名称:Microsoft(R) Windows(R) Operating System 8l~]}2LAs
公司:Microsoft Corporation ltwX-
木马运行后复制自身到系统目录: aiF7\^aw$
%System%NeroCheck.exe -ce N}Cb3
释放dll注入进程: 2h IM!wQ
%System%NeroCheck.dll i,8h
B(M!
以及%System%SVKP.sys文件。 i'H{cN6
使用%temp%delmeexe.bat批处理删除自身: {SY@7G]
@echo off /[q6"R!uMz
:loop z{]$WVs:^
del "exe" CJ8X Ky
del "%temp%delmeexe.bat" ?k TVC
if exist %temp%delmeexe.bat goto loop 字串9 }cn46L%/
木马创建以下服务: `J'xVq#O
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] *l)_&p
显示名:Indexing Services ?S~HnIn
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. dPc*!xrq
可执行文件的路径:%System%NeroCheck.exe 5@%$M$E
清除步骤 MT[V1I{LV
========== Nv,1F
1. 删除木马的.服务项: 5k)QjZo
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] a:r8Jzr
2. 重新启动计算机 f-F+Y`P
3. 删除.木马文件: 3=RV Jb
%System%NeroCheck.exe |F=!0Id<
%System%NeroCheck.dll Ur6UE2
%System%SVKP.sys 8`v+yHjG