病毒.名称:N/A(Kaspersky) T&%�ux=�Jt
病毒别名:Backdoor.Jusi.i(瑞星) Q�rB@c�K�]
病毒大小:216,576 字节 YP�.5fq�:�
加壳方式:SVKP �qfL~Wp2E;
样本MD5:e17774b70be4427768180286a6889fae G��e-�C�Y�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d tk!t
��Y8j
传播方式:恶意网页、其它病毒下载 5�mJ�J���U
GNXHM*�~�
技术分析 6l5:1|8b,!
========== As�3.Q�(#Z
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: LQ(�yScA�@
文件版本:5.2.3790.1830 1<BX]-/�tP
描述:Generic Host Process for Win32 Services &<wuJ%'>)Z
版权:(C) Microsoft Corporation. All rights reserved. QW��$����G
产品.名称:Microsoft(R) Windows(R) Operating System oFy��=-p+C
公司:Microsoft Corporation F��ME3sa$�
木马运行后复制自身到系统目录: >�T�O�u|�r
%System%NeroCheck.exe +�W:�=�e,=
释放dll注入进程: =�Nn�NN'}�
%System%NeroCheck.dll �)2�V��:�
以及%System%SVKP.sys文件。 �eoai(&o0$
使用%temp%delmeexe.bat批处理删除自身: W=#:��.Xj[
@echo off �!n*
+�(lZ
:loop 9Wnn'T@T�l
del "exe" +?u~A�PjNN
del "%temp%delmeexe.bat" �q#vQ�v�5�
if exist %temp%delmeexe.bat goto loop 字串9 R�A �KF��U
木马创建以下服务: d]�:I�(�9K
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �w8kO�VN2b
显示名:Indexing Services -R57@�D>j\
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. G?E�oPh�^m
可执行文件的路径:%System%NeroCheck.exe (yF:6$:�#
清除步骤 zA�$k0���p
========== E�=e*VE�jy
1. 删除木马的.服务项: &>%T^Y|�J4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �Sn�E(o�)Q
2. 重新启动计算机 aa>�xIW,u
3. 删除.木马文件: �6�^]!gR#B
%System%NeroCheck.exe E�"+Q��J~!
%System%NeroCheck.dll
5�&v~i�\Q
%System%SVKP.sys RRRCS]y7$t
