病毒.名称:N/A(Kaspersky) 8.HqQ:?&2t
病毒别名:Backdoor.Jusi.i(瑞星) �|(N4ZmTm�
病毒大小:216,576 字节 dDbPM9]�5�
加壳方式:SVKP 2L�Ge���Rw
样本MD5:e17774b70be4427768180286a6889fae oRFHq>-.g�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �>i7z�V`eK
传播方式:恶意网页、其它病毒下载 rD<G_%�h�P
��\gaGTc2&
技术分析 " NnUu�8�x
========== P�9�;
=O$s
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: GV#�"2{t
j
文件版本:5.2.3790.1830 Ep�SV�HD:*
描述:Generic Host Process for Win32 Services ��e#J��Jd=
版权:(C) Microsoft Corporation. All rights reserved. T�a`�=c�0
产品.名称:Microsoft(R) Windows(R) Operating System ,2q �LiE�>
公司:Microsoft Corporation )%����Z<9k
木马运行后复制自身到系统目录: -��t�wV?~f
%System%NeroCheck.exe rU`#3}���s
释放dll注入进程: SjV�;&
1Z/
%System%NeroCheck.dll unK�Ta*U^q
以及%System%SVKP.sys文件。 |��_�/q0#"
使用%temp%delmeexe.bat批处理删除自身: 5VdF^.��:u
@echo off :\9E%/aA�D
:loop hd1(�q3�3
del "exe" iI�ji[>�qz
del "%temp%delmeexe.bat" ��Tn,'*D@l
if exist %temp%delmeexe.bat goto loop 字串9 0��F�D#�9r
木马创建以下服务: 4CVtXi�_Y
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �1.U5gW/3L
显示名:Indexing Services �pt<!�b�0G
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. &�Q
7Q1`S
可执行文件的路径:%System%NeroCheck.exe Cp�=Dd�mR�
清除步骤 >��Pj ?IE6
========== ��{;1Mud�
1. 删除木马的.服务项: ��4<fKB&��
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] L��nP={s��
2. 重新启动计算机 0*S]�m5#�;
3. 删除.木马文件: Q
laz3X,P
%System%NeroCheck.exe �yM>:,T��S
%System%NeroCheck.dll ,<s'��/8Ik
%System%SVKP.sys [t�/7hx"2t
