病毒.名称:N/A(Kaspersky) 7��6[�O3%�
病毒别名:Backdoor.Jusi.i(瑞星) ayfZ>x�{s*
病毒大小:216,576 字节 o'.�6gZ gk
加壳方式:SVKP *�&���X.��
样本MD5:e17774b70be4427768180286a6889fae �#4h��_(�Y
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �Wc4K?3 ZM
传播方式:恶意网页、其它病毒下载 $M\[��^g(q
uMm��/�$#E
技术分析 -�#]?3*NO�
========== jEB�Z�"Jvb
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: F^�kH"u�[�
文件版本:5.2.3790.1830 1�gp���3A�
描述:Generic Host Process for Win32 Services YQ�>P{�I%J
版权:(C) Microsoft Corporation. All rights reserved. ;I'pC�?!�y
产品.名称:Microsoft(R) Windows(R) Operating System
�jKV,��i?
公司:Microsoft Corporation w�yO@oi
Vn
木马运行后复制自身到系统目录: bK� `'z�i�
%System%NeroCheck.exe ]a|3�"DP5�
释放dll注入进程: /Z�AS%_a�s
%System%NeroCheck.dll �-Z&6P��T7
以及%System%SVKP.sys文件。 �#84�p�RU~
使用%temp%delmeexe.bat批处理删除自身: �t0Q/vp*�/
@echo off ~ei\�~;n\@
:loop x�1)G��!i�
del "exe" O`e0r%SJ��
del "%temp%delmeexe.bat" o��D,f5Ci-
if exist %temp%delmeexe.bat goto loop 字串9 A3%s5`vNvH
木马创建以下服务: =~YmM<���L
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 3=9��yR*�*
显示名:Indexing Services aK'��`�yuN
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �]E90q/s@c
可执行文件的路径:%System%NeroCheck.exe (;=:Qj�aoZ
清除步骤 X���&._<2
========== L�P�b���Z.
1. 删除木马的.服务项: (j-[�m\w�F
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] {t:� ZMUV
2. 重新启动计算机 C)�>
])�'S
3. 删除.木马文件: gBRhO^�Sz�
%System%NeroCheck.exe >8;Co]::kx
%System%NeroCheck.dll 2BOe�,gi�y
%System%SVKP.sys T*>n
�a8W�
