病毒.名称:N/A(Kaspersky) w�6��+X�{�
病毒别名:Backdoor.Jusi.i(瑞星) �rBye%rQRq
病毒大小:216,576 字节 M&Sjo' ( .
加壳方式:SVKP �!R-M�:��|
样本MD5:e17774b70be4427768180286a6889fae ` :e�X�X�E
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d |!euty� ::
传播方式:恶意网页、其它病毒下载 hC4##pA�a�
{�(�U?)4�@
技术分析 %*>=�L$��A
========== �}i!hzkK#
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: t%Vc1H2}�
文件版本:5.2.3790.1830 ):;�
&~��
描述:Generic Host Process for Win32 Services b?��j�R�A^
版权:(C) Microsoft Corporation. All rights reserved. �S75wtz�)e
产品.名称:Microsoft(R) Windows(R) Operating System &�Ey5 H?U!
公司:Microsoft Corporation 75v 5/5zRn
木马运行后复制自身到系统目录: �$Y�SAD\a<
%System%NeroCheck.exe (zIP��@ �H
释放dll注入进程: �xPWzm�
hF
%System%NeroCheck.dll w{f!t8C*�s
以及%System%SVKP.sys文件。 /5 �B�{szf
使用%temp%delmeexe.bat批处理删除自身: |&eZ[Sy(=l
@echo off Ch�%W�
C�,
:loop �0+jR�,5�|
del "exe" wkOo8@�J\
del "%temp%delmeexe.bat" �mYJ%gdTpo
if exist %temp%delmeexe.bat goto loop 字串9 =�k��H7���
木马创建以下服务: +�kP)T(�6�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] |s`j=<rNQI
显示名:Indexing Services ���)XV|D��
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �F�i�vg�Oa
可执行文件的路径:%System%NeroCheck.exe �hNg�bHzW�
清除步骤 �3/>T/To&2
========== 3}e-qFlV8,
1. 删除木马的.服务项: pp@Jndl�g
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] =>�#
S��7=
2. 重新启动计算机 $�"1Unu&�P
3. 删除.木马文件: Cj"�+` C)l
%System%NeroCheck.exe
�F$<>JEdX
%System%NeroCheck.dll zs|R�#�?a=
%System%SVKP.sys 64�9{\;*�4
