病毒.名称:N/A(Kaspersky) �r`�j�Wp\z
病毒别名:Backdoor.Jusi.i(瑞星) U�UeB�;'E+
病毒大小:216,576 字节 �fiVHRSX60
加壳方式:SVKP j�f�D1����
样本MD5:e17774b70be4427768180286a6889fae W�K�0���C
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d t V03+&j�F
传播方式:恶意网页、其它病毒下载 /`[!_�4i�
LvcuZZ`1�a
技术分析 P� ZxFZvE�
========== ]�ab�#q��=
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: ��XM/vD�dR
文件版本:5.2.3790.1830 �Tkw;p���b
描述:Generic Host Process for Win32 Services LH2PTW\b!6
版权:(C) Microsoft Corporation. All rights reserved. �}u%"$[�I}
产品.名称:Microsoft(R) Windows(R) Operating System |S&�5es-yW
公司:Microsoft Corporation K�B!�5u��9
木马运行后复制自身到系统目录: [ %}u=��}@
%System%NeroCheck.exe �\ECu5L4�
释放dll注入进程: {���hQ6K)s
%System%NeroCheck.dll ��I9Eu',
以及%System%SVKP.sys文件。 K�c ��#|Z
使用%temp%delmeexe.bat批处理删除自身: */z??fI2�7
@echo off 06 i;T~�Y�
:loop N2�ied^* 0
del "exe" M�V0Lq:# N
del "%temp%delmeexe.bat" +�pf5\#l?�
if exist %temp%delmeexe.bat goto loop 字串9 6?qDdV�R~]
木马创建以下服务:
#DFV=:�|~
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �<@G8�ni�
显示名:Indexing Services KVPR}qTP�;
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �wJeG�(�h�
可执行文件的路径:%System%NeroCheck.exe �Md,p�DWb
清除步骤 �@�%��hCAm
========== .�&�1��C:>
1. 删除木马的.服务项: c��)}2K0��
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ����#aa�r9
2. 重新启动计算机 AVl~{k��|�
3. 删除.木马文件: Wh(
|+rJ?Z
%System%NeroCheck.exe ���x[I�m%k
%System%NeroCheck.dll o31Nmy
�Ni
%System%SVKP.sys \�K��
iwUz
