病毒.名称:N/A(Kaspersky) 2���?F?��C
病毒别名:Backdoor.Jusi.i(瑞星) l�S|F&�I5j
病毒大小:216,576 字节 rgo!t0�28^
加壳方式:SVKP j-d�5�42�"
样本MD5:e17774b70be4427768180286a6889fae wo��a|h"T
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d 5 qMP u|�A
传播方式:恶意网页、其它病毒下载 ��1�HL�U
&
H#�M�;T�jR
技术分析 @1~��cPt
�
========== XVF!l�>�nE
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 5Y� 7 %�Z
文件版本:5.2.3790.1830 �m2HO .ljc
描述:Generic Host Process for Win32 Services $�F1��A�m%
版权:(C) Microsoft Corporation. All rights reserved. ���+7{�8T{
产品.名称:Microsoft(R) Windows(R) Operating System �oT|:gih5�
公司:Microsoft Corporation @~&|BvK% \
木马运行后复制自身到系统目录: 1:R�K�~�_E
%System%NeroCheck.exe tr58J%��Mu
释放dll注入进程: m=TZfa^�r
%System%NeroCheck.dll ��Wo ��Z@�
以及%System%SVKP.sys文件。 5S[�:;���o
使用%temp%delmeexe.bat批处理删除自身: �x�\I�u�M�
@echo off k*OHI/uiow
:loop >`^�;h]��Q
del "exe" Wj�8WT)�cB
del "%temp%delmeexe.bat" ^B8�[B��&K
if exist %temp%delmeexe.bat goto loop 字串9 [b3$em<^JV
木马创建以下服务: 7Y)i�>[u3�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �V/x�jI<�,
显示名:Indexing Services 0+K<;5"63d
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. `a[
�V_4wO
可执行文件的路径:%System%NeroCheck.exe j�)wrF@W��
清除步骤 7[0<�,O6�Q
========== ?w&?P}e �+
1. 删除木马的.服务项: �dkW�7k�^g
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �pgW^�h�j\
2. 重新启动计算机 %jJ��I�R88
3. 删除.木马文件: Q9c*I�,O�j
%System%NeroCheck.exe N/[!$B0H�@
%System%NeroCheck.dll nbW��.�x7
%System%SVKP.sys ��\�~r_S��
