病毒.名称:N/A(Kaspersky) A�/q2g�7My
病毒别名:Backdoor.Jusi.i(瑞星) ��c |>=S)|
病毒大小:216,576 字节 21r=�=�
H$
加壳方式:SVKP T v�rk�^!�
样本MD5:e17774b70be4427768180286a6889fae (�GCG/8s��
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d Iz
DG&�c��
传播方式:恶意网页、其它病毒下载 ?Bo�?JMV�
y �}\r#"Z`
技术分析 x^A7'ad��0
========== \H�AJ\9*w)
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �sX��+`wc
文件版本:5.2.3790.1830 T4mv�%z�zS
描述:Generic Host Process for Win32 Services J,f�/fPaf7
版权:(C) Microsoft Corporation. All rights reserved. z{�p��tm�7
产品.名称:Microsoft(R) Windows(R) Operating System ��7;&(���}
公司:Microsoft Corporation �<f�N;
xIB
木马运行后复制自身到系统目录: ev9;���L�d
%System%NeroCheck.exe "\e:h|
.G
释放dll注入进程: F\a]n�^
Y�
%System%NeroCheck.dll Pm4e�8b���
以及%System%SVKP.sys文件。 3sH\1�)Zz�
使用%temp%delmeexe.bat批处理删除自身: 1N8;)HLIBJ
@echo off Vy__�b=ti?
:loop !;�� IJ ��
del "exe" vxZg &SRK�
del "%temp%delmeexe.bat" > 2#%$�lX6
if exist %temp%delmeexe.bat goto loop 字串9 '"y}#h__T
木马创建以下服务: Yc^%zx�ub�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ?�hnx/z+uT
显示名:Indexing Services !O|ql�6�^;
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. ebq�g"tPN{
可执行文件的路径:%System%NeroCheck.exe X0�`j-*,FX
清除步骤 m6����^ 5S
========== �j&�5G\�6:
1. 删除木马的.服务项: 8p&kL�o&��
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] [�F+(�^- (
2. 重新启动计算机 Y9�F�)`1�7
3. 删除.木马文件: ���EIr@g
%System%NeroCheck.exe N�m�J`�?-Z
%System%NeroCheck.dll OTj�,�O77k
%System%SVKP.sys I,�b9t\(6�
