病毒.名称:N/A(Kaspersky) /P�x�n�y3�
病毒别名:Backdoor.Jusi.i(瑞星) g4y&��6!g
病毒大小:216,576 字节 dQz#&&�s-
加壳方式:SVKP [�FZq'E"87
样本MD5:e17774b70be4427768180286a6889fae TPs
]n7]�:
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d "|Ka�g|(qB
传播方式:恶意网页、其它病毒下载 m��@�UrFPZ
�^�#XQ2U�N
技术分析 1Ko4�O)L]&
========== &;sW4jn�t
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 4bcd=a��;�
文件版本:5.2.3790.1830 Dr7�6+9'i
描述:Generic Host Process for Win32 Services JLt%G�^W�>
版权:(C) Microsoft Corporation. All rights reserved. ~(#�iGc]7
产品.名称:Microsoft(R) Windows(R) Operating System �x���S�:n�
公司:Microsoft Corporation 0cDP:�EzR;
木马运行后复制自身到系统目录: RL�)~J�4�Y
%System%NeroCheck.exe 8rj�D�1<��
释放dll注入进程: tyWDa$�u,u
%System%NeroCheck.dll � ��d0i|�^
以及%System%SVKP.sys文件。 &��KY!a0s�
使用%temp%delmeexe.bat批处理删除自身: �rP}�[�>��
@echo off �i5�=�~�tS
:loop �@t;�72�6�
del "exe" \._|_+Hi�W
del "%temp%delmeexe.bat" g�m%cAm��e
if exist %temp%delmeexe.bat goto loop 字串9 ��<�k0/�O�
木马创建以下服务: p� I~;3T:!
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �G8 ��q<)
显示名:Indexing Services Uu5�2u���R
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. M[+#*f.T}�
可执行文件的路径:%System%NeroCheck.exe �Yep~C�%/}
清除步骤 jSS�E�fy>^
========== ��ExMd$`gW
1. 删除木马的.服务项: V/:���2x�T
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] Rt:^�'Qi$!
2. 重新启动计算机 �];jp)�P2o
3. 删除.木马文件: O"/Sv'|H#
%System%NeroCheck.exe IT��)3Et@Y
%System%NeroCheck.dll C#4_��`�4{
%System%SVKP.sys >�q�0%yh�-
