病毒.名称:N/A(Kaspersky) nV*s��dSt�
病毒别名:Backdoor.Jusi.i(瑞星) �3��y�B6]U
病毒大小:216,576 字节 S�Vh4�)}.x
加壳方式:SVKP �86F+N�_>Z
样本MD5:e17774b70be4427768180286a6889fae 12x�P)*:$�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d >8�O=��^�7
传播方式:恶意网页、其它病毒下载 Bqlc�+d:��
�\Pmk`^T��
技术分析 )#~�fS�28j
========== !!%n�l_I�(
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: m���(:qZW�
文件版本:5.2.3790.1830 E��c*7n6~9
描述:Generic Host Process for Win32 Services {; c�B�?II
版权:(C) Microsoft Corporation. All rights reserved. Sf�SEA^�@|
产品.名称:Microsoft(R) Windows(R) Operating System \<x_96jt!\
公司:Microsoft Corporation #�@s~V�<rW
木马运行后复制自身到系统目录: Q8cPK���DB
%System%NeroCheck.exe wg_C�I,�Kq
释放dll注入进程: t>@3�RBEK
%System%NeroCheck.dll E*C�QG;^=N
以及%System%SVKP.sys文件。 �!�BuJC$��
使用%temp%delmeexe.bat批处理删除自身: TcmZ0L^�O�
@echo off �Bl\k�U8O-
:loop At��q�2pL"
del "exe" k�]9>��V@C
del "%temp%delmeexe.bat" *js$�r+4��
if exist %temp%delmeexe.bat goto loop 字串9 W?J[�K�;�<
木马创建以下服务: �S_VncTI�O
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] -f|^��}j?�
显示名:Indexing Services B2qq C-hw?
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. .r�%|RWs6W
可执行文件的路径:%System%NeroCheck.exe S&]<;�N_B�
清除步骤 '/gw�C7*-&
========== h�cc-J�)=m
1. 删除木马的.服务项: N/{Yi�
_n�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] dS_)l�l.6z
2. 重新启动计算机 LE�nP"o9ZW
3. 删除.木马文件: L9�?/ �-@M
%System%NeroCheck.exe =�1OA�y�`8
%System%NeroCheck.dll `4$Q�v'�X*
%System%SVKP.sys ":^
NLBm>5
