病毒.名称:N/A(Kaspersky) � <�RaM�@E
病毒别名:Backdoor.Jusi.i(瑞星) {#o0v�W�S>
病毒大小:216,576 字节 �X�{Y�Y)}^
加壳方式:SVKP
Q%*987��i
样本MD5:e17774b70be4427768180286a6889fae #P��JH�wvr
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �����yP�Xa
传播方式:恶意网页、其它病毒下载 �SE7mn6,%\
F�).7%YfY�
技术分析 }gR!�]Cs)^
========== ��M8�{��J
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �FJCL�K�#-
文件版本:5.2.3790.1830 � W�w��&r�
描述:Generic Host Process for Win32 Services 92� oUQ EK
版权:(C) Microsoft Corporation. All rights reserved. ��5�ca!JLs
产品.名称:Microsoft(R) Windows(R) Operating System C4H�$w:bVk
公司:Microsoft Corporation Gn�Fm�*L��
木马运行后复制自身到系统目录: ��KK�caj�N
%System%NeroCheck.exe fuQk�}OW�{
释放dll注入进程: �w�}�WfQj�
%System%NeroCheck.dll &ra2(��S45
以及%System%SVKP.sys文件。 r��>;(�\_@
使用%temp%delmeexe.bat批处理删除自身: IDK�~
(t��
@echo off %�+�: $uk[
:loop ;�BmPP�,��
del "exe" 5�I�>a|I!j
del "%temp%delmeexe.bat" �nI�EIb.-�
if exist %temp%delmeexe.bat goto loop 字串9 \�f�-@L;8#
木马创建以下服务: `P/8�7�=h�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] [R(d��Cq>�
显示名:Indexing Services C1w6[f��1+
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. E�L^j�}�P�
可执行文件的路径:%System%NeroCheck.exe W1
�\dGskV
清除步骤 H���X�b�^K
========== �Ie7S'.Lmq
1. 删除木马的.服务项: -_��^�#7]�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 8'-E>+L� �
2. 重新启动计算机 Uo�0[ZsFD
3. 删除.木马文件: UXPF"}S2�
%System%NeroCheck.exe XE��S$V15
%System%NeroCheck.dll :qvA'.L/;z
%System%SVKP.sys '�>�:�%�n
