病毒.名称:N/A(Kaspersky) [midNC�+,�
病毒别名:Backdoor.Jusi.i(瑞星) ��1�5R:m:T
病毒大小:216,576 字节 r�:H�.VAD�
加壳方式:SVKP %XH��%.Ps/
样本MD5:e17774b70be4427768180286a6889fae �jf�p�bD
/
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �vGc�hKN~_
传播方式:恶意网页、其它病毒下载 C5�~
+�"#B
��w�QojmmQ
技术分析 W$:D#;jz`h
========== ]~4*ak=)5\
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: ;�n�.SRy6�
文件版本:5.2.3790.1830 fhmBKeFdV
描述:Generic Host Process for Win32 Services
scZ�&�}Ni
版权:(C) Microsoft Corporation. All rights reserved. `bW0Va
N��
产品.名称:Microsoft(R) Windows(R) Operating System ]�P)2Q�!X
公司:Microsoft Corporation @*iT%p_�L�
木马运行后复制自身到系统目录: �lh��B;jE�
%System%NeroCheck.exe ORFi0gFb�A
释放dll注入进程: �#=�#��bv`
%System%NeroCheck.dll }�[]�1`2qD
以及%System%SVKP.sys文件。 L �7�l"*w(
使用%temp%delmeexe.bat批处理删除自身: 2C#b-Y�1~N
@echo off yH]�w(z5Z�
:loop .�B{:<;s�a
del "exe" �I?Cf��dI�
del "%temp%delmeexe.bat" Z._%T$8aJv
if exist %temp%delmeexe.bat goto loop 字串9 `2n%Lo?��_
木马创建以下服务: '-_tF�3x�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] U���[�NQ"�
显示名:Indexing Services 3��q.HZfN~
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. N��UX$)�c�
可执行文件的路径:%System%NeroCheck.exe QPKY9.R�vv
清除步骤 o(g}eP,g�}
========== a6hDw'�8�!
1. 删除木马的.服务项: D�9\ E��kX
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] hlFvm�$P`M
2. 重新启动计算机 �(*Q8!"D^6
3. 删除.木马文件: �+7j7z�p�w
%System%NeroCheck.exe `}��~���NZ
%System%NeroCheck.dll {emy�m$we�
%System%SVKP.sys iy [W:<c7j
