病毒.名称:N/A(Kaspersky) U2\g
Kg[-Q
病毒别名:Backdoor.Jusi.i(瑞星) ��Z)<��ljW
病毒大小:216,576 字节 %Ui&S��Z\�
加壳方式:SVKP 0(VAmb�%�{
样本MD5:e17774b70be4427768180286a6889fae GKu@8Ol-wu
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d Z@>hN%{d+g
传播方式:恶意网页、其它病毒下载 �wASg�dGoy
k�zn�y4v[y
技术分析 ?w�t%�e�;�
========== @(Wx(3JR?}
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �@G+Hrd��6
文件版本:5.2.3790.1830 r"�d��/��9
描述:Generic Host Process for Win32 Services [wWip1OR�
版权:(C) Microsoft Corporation. All rights reserved. !�*HH5�qh6
产品.名称:Microsoft(R) Windows(R) Operating System TUHC[#Vb?�
公司:Microsoft Corporation �f]L`^WU�
木马运行后复制自身到系统目录: /5 �B�{szf
%System%NeroCheck.exe >p [|U`>{�
释放dll注入进程: %�W~K��x_
%System%NeroCheck.dll jku_0Q�0*?
以及%System%SVKP.sys文件。 vQ>x5\r5O_
使用%temp%delmeexe.bat批处理删除自身: �0+jR�,5�|
@echo off :C�H� "cbo
:loop yoGe^ga�r�
del "exe" ~��UA�-GWb
del "%temp%delmeexe.bat" N3
��.!�E|
if exist %temp%delmeexe.bat goto loop 字串9 c"Kl@�[1\~
木马创建以下服务: /{��vv� n
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �_W'>?e�0i
显示名:Indexing Services �C�M�B:��%
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. `% k�9@k�.
可执行文件的路径:%System%NeroCheck.exe 6*8���"?S'
清除步骤 +dq�&9�N�/
========== 28�[hp[��<
1. 删除木马的.服务项: B38_1��X�7
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 9\ZlRYn�c=
2. 重新启动计算机 &b8Dy�=�#�
3. 删除.木马文件: 4*�'5�EBa1
%System%NeroCheck.exe {R%v4#n��k
%System%NeroCheck.dll eQ`TW'[9_6
%System%SVKP.sys 7nM��]E_��
