病毒.名称:N/A(Kaspersky) Ch'e'EmI
病毒别名:Backdoor.Jusi.i(瑞星) lGXr-K?+Y
病毒大小:216,576 字节 9/PX~j9O?
加壳方式:SVKP 'NN3XyD
样本MD5:e17774b70be4427768180286a6889fae 4hWFgk
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d *t bgIW+h
传播方式:恶意网页、其它病毒下载 rI'kZ0&
+HF*X~},i
技术分析 #&Fd16ov
========== , GMuq_H
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: H><!
C
文件版本:5.2.3790.1830 A",Xn/d
描述:Generic Host Process for Win32 Services }w5`Oig[
版权:(C) Microsoft Corporation. All rights reserved. q9B5>Ye)
产品.名称:Microsoft(R) Windows(R) Operating System 6.M!WK{+
公司:Microsoft Corporation iUk#0 I
木马运行后复制自身到系统目录: /rnP/X)T
%System%NeroCheck.exe @#::C@V]
释放dll注入进程: tg;AF<VI
%System%NeroCheck.dll vFK!LeF%
以及%System%SVKP.sys文件。 F>ps&h
使用%temp%delmeexe.bat批处理删除自身: l<p6zD$l
@echo off kj@m5`G
:loop l-q.VY2
del "exe" 7,ffY/
del "%temp%delmeexe.bat" E@8<
if exist %temp%delmeexe.bat goto loop 字串9 gx=2]~O1(
木马创建以下服务: puK /;nns
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] `_E@cZ4
显示名:Indexing Services , R $ZZ4
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. bX`VIFc
可执行文件的路径:%System%NeroCheck.exe Ombvp;
清除步骤 ol@LLT_m
==========
'cf8VD
1. 删除木马的.服务项: k2DBm q;
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] vLQh r&I
2. 重新启动计算机 \q:PU6q
3. 删除.木马文件: !;.nL-NQ
%System%NeroCheck.exe +$D~?sk
%System%NeroCheck.dll CDGN}Q2 _
%System%SVKP.sys J}s)#va9R