病毒.名称:N/A(Kaspersky) S\:�+��5�}
病毒别名:Backdoor.Jusi.i(瑞星) Q�kD����
~
病毒大小:216,576 字节 T@I�zf�X�7
加壳方式:SVKP F!)[H�["�_
样本MD5:e17774b70be4427768180286a6889fae _�0'X�!�1"
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d Y)pop�:y t
传播方式:恶意网页、其它病毒下载 ]j��6pd*�H
�)lS��04|s
技术分析 "B�
(�?|r%
========== �3.�BUWMD�
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �7]T(=gg /
文件版本:5.2.3790.1830 �")�i)vXF'
描述:Generic Host Process for Win32 Services @�_�-,Q5
版权:(C) Microsoft Corporation. All rights reserved. >Jx=�k"Kv+
产品.名称:Microsoft(R) Windows(R) Operating System =d^hi�R!GN
公司:Microsoft Corporation W&|?8%"l]�
木马运行后复制自身到系统目录: o��^UOkxs.
%System%NeroCheck.exe 4a�BVO%t��
释放dll注入进程: �ppvlU H5;
%System%NeroCheck.dll K���omdz/g
以及%System%SVKP.sys文件。 ��}s<�;YC�
使用%temp%delmeexe.bat批处理删除自身: ?z� l<"�u�
@echo off N�F�Er� ,n
:loop iz`>'�wp�C
del "exe" hB.8\-}QMq
del "%temp%delmeexe.bat" s_f�e���4K
if exist %temp%delmeexe.bat goto loop 字串9 ��@!!�u>1
木马创建以下服务: 26��72�oFD
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ,iP
YsW]�5
显示名:Indexing Services 2� �A!�*8w
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. ��;NdH]a�{
可执行文件的路径:%System%NeroCheck.exe ��}k%�6�X@
清除步骤 S!=R\_{u$�
========== ���IBJNs�$
1. 删除木马的.服务项: 2xO��[ ?fR
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] =��wDXlAQ�
2. 重新启动计算机 r.zgLZ}3&V
3. 删除.木马文件: }Cw,m0K�V/
%System%NeroCheck.exe # M/n\em"X
%System%NeroCheck.dll tR�'RB@k�J
%System%SVKP.sys a<r���,L�E
