病毒.名称:N/A(Kaspersky) T�S�ewq4`K
病毒别名:Backdoor.Jusi.i(瑞星) E}� XmZxHV
病毒大小:216,576 字节 0ex.~S_Oj4
加壳方式:SVKP J78.-J5 j0
样本MD5:e17774b70be4427768180286a6889fae v���wu/3�3
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d Wj,s�/Yr:�
传播方式:恶意网页、其它病毒下载 R&Nl!Q�TJj
H@@ 4n%MK
技术分析 asYk�#;z\"
========== ~;CNWJtcf(
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: lj}�3�Tb�M
文件版本:5.2.3790.1830 b/a\�{����
描述:Generic Host Process for Win32 Services }#D=Rf?2\P
版权:(C) Microsoft Corporation. All rights reserved. �;dUKFdKH}
产品.名称:Microsoft(R) Windows(R) Operating System n�k�tG�O��
公司:Microsoft Corporation b)'CP �Cu*
木马运行后复制自身到系统目录: e�g/�itty�
%System%NeroCheck.exe ].xSX�0YQ%
释放dll注入进程: @;OsHu�dd�
%System%NeroCheck.dll o��]&q'>Rf
以及%System%SVKP.sys文件。 ��=QVk��Y7
使用%temp%delmeexe.bat批处理删除自身: �6���:|;O�
@echo off 'k\j[fk/�K
:loop ?���&w�rz�
del "exe" R&(OWF;~�,
del "%temp%delmeexe.bat" Wcq��R; Nm
if exist %temp%delmeexe.bat goto loop 字串9 ��EQlb�:;j
木马创建以下服务: �\����5�4B
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] %dPk�,Ylz�
显示名:Indexing Services &J2�UAm�B
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. /g�F)msUF�
可执行文件的路径:%System%NeroCheck.exe ^OQP;5 #�K
清除步骤 (K=0c�6M3=
========== %]I#]��jR�
1. 删除木马的.服务项: &zy%�_U2%
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �f�B9,#�
F
2. 重新启动计算机 �J'
uaZI>'
3. 删除.木马文件: Q��Gf�wvFm
%System%NeroCheck.exe K'
�`qR���
%System%NeroCheck.dll 1+$�F= M~
%System%SVKP.sys k"cM�Au.��
