病毒.名称:N/A(Kaspersky) :B�rnRW64
病毒别名:Backdoor.Jusi.i(瑞星)
�a�F4V|?+
病毒大小:216,576 字节
!�]jNV��g
加壳方式:SVKP r)�Mx.�`d!
样本MD5:e17774b70be4427768180286a6889fae ��3<1H�q�U
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d R�;Ix�<y{U
传播方式:恶意网页、其它病毒下载 �Hhce:E�@K
b$�$L�]$q2
技术分析 ���*Tlws��
========== ���/n�<Ncf
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �9O����0�
文件版本:5.2.3790.1830 j{Qbzczy,�
描述:Generic Host Process for Win32 Services &&�QDEDszp
版权:(C) Microsoft Corporation. All rights reserved. }1^�tK(�Am
产品.名称:Microsoft(R) Windows(R) Operating System �?6l�,�� �
公司:Microsoft Corporation 3vvFF]D5�k
木马运行后复制自身到系统目录: _`��Y�vfz3
%System%NeroCheck.exe #\!�hBL
@b
释放dll注入进程: "l�2N_�xX;
%System%NeroCheck.dll [�7�Kj$PB3
以及%System%SVKP.sys文件。 ,a?\i
JNb
使用%temp%delmeexe.bat批处理删除自身: q_�m#BE;�t
@echo off 3!���L<=X�
:loop -^�nQ^Td=j
del "exe" /v5g;x�_T�
del "%temp%delmeexe.bat" �fU){]Y�P�
if exist %temp%delmeexe.bat goto loop 字串9 ;H#R{�uR_<
木马创建以下服务: ]6c2[r?g{�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] .�AQ3zpy5B
显示名:Indexing Services BOl��$UJ|K
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. b3HTCO-,fC
可执行文件的路径:%System%NeroCheck.exe ����J|�64b
清除步骤 kod_ �1L�D
========== ��b\�uB��
1. 删除木马的.服务项: /Z�9`u���K
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] @SMy0:�c:�
2. 重新启动计算机 �{TN@�KB��
3. 删除.木马文件: 7_d#XKz�@�
%System%NeroCheck.exe �;�hJ/t�/7
%System%NeroCheck.dll T�YL�l_nGr
%System%SVKP.sys T;��pn ��-
