病毒.名称:N/A(Kaspersky) G�BT219Z@8
病毒别名:Backdoor.Jusi.i(瑞星) �w"�)�m]LV
病毒大小:216,576 字节 9j5-/���
�
加壳方式:SVKP ��3[ xHY@c
样本MD5:e17774b70be4427768180286a6889fae K=p�G,[ChA
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ^n��D�a-J$
传播方式:恶意网页、其它病毒下载 �~4m�Rm!DP
�Uo�S�c<h|
技术分析 8~|v�:�q�k
========== �VA�e[x�
`
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: N0 mh�g�EA
文件版本:5.2.3790.1830 <KI�>:@|Sc
描述:Generic Host Process for Win32 Services :E�H�>�&vm
版权:(C) Microsoft Corporation. All rights reserved. 1��hc�`s+N
产品.名称:Microsoft(R) Windows(R) Operating System �O.-A)�S�@
公司:Microsoft Corporation k�X)*:��~*
木马运行后复制自身到系统目录: X|�}Q�4�T`
%System%NeroCheck.exe ��=p:~s�n#
释放dll注入进程: 5Y@H�b!5�D
%System%NeroCheck.dll @�iB�mOt>3
以及%System%SVKP.sys文件。 g(G$*#}o8A
使用%temp%delmeexe.bat批处理删除自身: Kp��;�a(D�
@echo off �SQM�t�R�2
:loop a=6@} l1<
del "exe" =T)y(]
;M$
del "%temp%delmeexe.bat" �@![1W��@J
if exist %temp%delmeexe.bat goto loop 字串9 TpdYU*z_Br
木马创建以下服务: �w>'3}o(nY
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] `91�Z]zGpU
显示名:Indexing Services �Cj�/��!m�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �0vMKyT3 c
可执行文件的路径:%System%NeroCheck.exe vTL/%� SJ8
清除步骤 `_BmVms��
========== �as!P`��*@
1. 删除木马的.服务项: �/fU��-0a8
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] (�.5Ft^3W
2. 重新启动计算机 SQ'%a�-Mct
3. 删除.木马文件: u��h>"TeOi
%System%NeroCheck.exe �- �Nt8'-�
%System%NeroCheck.dll D<WGa�u2�H
%System%SVKP.sys �{�CFy
�%�
