病毒.名称:N/A(Kaspersky) GBT219Z@8
病毒别名:Backdoor.Jusi.i(瑞星) w")m]LV
病毒大小:216,576 字节 9j5-/
加壳方式:SVKP 3[ xHY@c
样本MD5:e17774b70be4427768180286a6889fae K=pG,[ChA
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ^nDa-J$
传播方式:恶意网页、其它病毒下载 ~4mRm!DP
UoSc<h|
技术分析 8~|v:qk
========== VAe[x
`
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: N0 mhgEA
文件版本:5.2.3790.1830 <KI>:@|Sc
描述:Generic Host Process for Win32 Services :EH>&vm
版权:(C) Microsoft Corporation. All rights reserved. 1hc`s+N
产品.名称:Microsoft(R) Windows(R) Operating System O.-A)S@
公司:Microsoft Corporation kX)*:~*
木马运行后复制自身到系统目录: X|}Q4T`
%System%NeroCheck.exe =p:~sn#
释放dll注入进程: 5Y@Hb!5D
%System%NeroCheck.dll @iBmOt>3
以及%System%SVKP.sys文件。 g(G$*#}o8A
使用%temp%delmeexe.bat批处理删除自身: Kp;a(D
@echo off SQMtR2
:loop a=6@} l1<
del "exe" =T)y(]
;M$
del "%temp%delmeexe.bat" @![1W@J
if exist %temp%delmeexe.bat goto loop 字串9 TpdYU*z_Br
木马创建以下服务: w>'3}o(nY
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] `91Z]zGpU
显示名:Indexing Services Cj/!m
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. 0vMKyT3 c
可执行文件的路径:%System%NeroCheck.exe vTL/% SJ8
清除步骤 `_BmVms
========== as!P`*@
1. 删除木马的.服务项: /fU-0a8
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] (.5Ft^3W
2. 重新启动计算机 SQ'%a-Mct
3. 删除.木马文件: uh>"TeOi
%System%NeroCheck.exe - Nt8'-
%System%NeroCheck.dll D<WGau2H
%System%SVKP.sys {CFy
%