病毒.名称:N/A(Kaspersky) ��/'E[03I~
病毒别名:Backdoor.Jusi.i(瑞星) �E{������e
病毒大小:216,576 字节 ?�6nB=B)�/
加壳方式:SVKP QT7�3=>^�B
样本MD5:e17774b70be4427768180286a6889fae N�jr;Wa.r+
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d <?}pC��X/O
传播方式:恶意网页、其它病毒下载 ��+:=F�csY
<�6Y;VH^�_
技术分析 &Xh>�w�(u�
========== 2
'D�,��1F
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: _�Kkas�eR�
文件版本:5.2.3790.1830 z07&P�;W!{
描述:Generic Host Process for Win32 Services =�3A�4.nW
版权:(C) Microsoft Corporation. All rights reserved. ��c2,g��%(
产品.名称:Microsoft(R) Windows(R) Operating System E8�"&g�blg
公司:Microsoft Corporation �n�}e%�c B
木马运行后复制自身到系统目录: I��m�!b-�1
%System%NeroCheck.exe �@>.aQ��E
释放dll注入进程: 8� l)K3;q_
%System%NeroCheck.dll JhwHsx��/�
以及%System%SVKP.sys文件。 GYiL}itD=3
使用%temp%delmeexe.bat批处理删除自身: 3!�/J!�X3L
@echo off &z5�?]`ALu
:loop 1�%R${Q�hr
del "exe" e�bNRZJ?C,
del "%temp%delmeexe.bat" m[Ih�te-�>
if exist %temp%delmeexe.bat goto loop 字串9 <nG}]�Smd7
木马创建以下服务: �DR3om;Uk�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] "v`q%(�T�A
显示名:Indexing Services U�<=d@�knH
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �w+)wrJTtm
可执行文件的路径:%System%NeroCheck.exe z�Tf�juI|R
清除步骤 ~6Fh�,S1?
========== 5mpql[v3P�
1. 删除木马的.服务项: -3�~�S{�)�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] +HRtuRv�0T
2. 重新启动计算机 &�a e!lB��
3. 删除.木马文件: 77s�G;8H�E
%System%NeroCheck.exe +Yq?�:uBV�
%System%NeroCheck.dll W94����u7a
%System%SVKP.sys .d[��^&�<^
