病毒.名称:N/A(Kaspersky) 6yBd9= 3K
病毒别名:Backdoor.Jusi.i(瑞星) f`KO#Wc
病毒大小:216,576 字节 }OhSCH'o6
加壳方式:SVKP o<J6KTLv
样本MD5:e17774b70be4427768180286a6889fae _-sFJi8B
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d QFnpp\K
传播方式:恶意网页、其它病毒下载 qe'ssX;
)7]yzc
技术分析 SuB8mPn
========== /\_n5XI1
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: +I-BqA9
文件版本:5.2.3790.1830 kh{3s:RQfC
描述:Generic Host Process for Win32 Services C=|8C70[%N
版权:(C) Microsoft Corporation. All rights reserved. ok [_Z;
产品.名称:Microsoft(R) Windows(R) Operating System yf;TIh%)=
公司:Microsoft Corporation ahIDKvJ4
木马运行后复制自身到系统目录: _g
fmo
%System%NeroCheck.exe S*>T%#F6Uo
释放dll注入进程: NM^uP+uS
%System%NeroCheck.dll wx[m-\
以及%System%SVKP.sys文件。 ~#4FL<W
使用%temp%delmeexe.bat批处理删除自身: 8MI8~
@echo off uO-|?{29
:loop ,[T/O\k
del "exe" \m~p;B
del "%temp%delmeexe.bat" *sZH3:
if exist %temp%delmeexe.bat goto loop 字串9 6-uLK'E
木马创建以下服务: -%]1q#C>@
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] rQ_]%ies8
显示名:Indexing Services PqL.^
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. jVLJqWP'!
可执行文件的路径:%System%NeroCheck.exe /M::x+/T
清除步骤 w[\rS`J
========== #Q)r6V:
1. 删除木马的.服务项: |:&O!36
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] y.I&x#(^
2. 重新启动计算机 f1v4h[)-
3. 删除.木马文件: UPP"-`t
%System%NeroCheck.exe v-SXPL]_^
%System%NeroCheck.dll f>$RR_
%System%SVKP.sys y 3o3 G