病毒.名称:N/A(Kaspersky) scmto �c�m
病毒别名:Backdoor.Jusi.i(瑞星) |$��w0+bV*
病毒大小:216,576 字节 0$�?�qo�S�
加壳方式:SVKP 6m\*]nOy�4
样本MD5:e17774b70be4427768180286a6889fae <[FS%2,0mb
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d {6��Y�x�N&
传播方式:恶意网页、其它病毒下载 �hgif]?:C<
�af^@
.$
|
技术分析 Y�iBOi?h�9
========== 9<�~,n1b>x
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: X@�e�g<]'m
文件版本:5.2.3790.1830 W9+��h0A-�
描述:Generic Host Process for Win32 Services &0i71�!Oy
版权:(C) Microsoft Corporation. All rights reserved. * �T\�>��
产品.名称:Microsoft(R) Windows(R) Operating System �$uT�lbAuv
公司:Microsoft Corporation ��h�+�
TB]
木马运行后复制自身到系统目录: &
]�%\�.m�
%System%NeroCheck.exe -���YA�O3�
释放dll注入进程: n4XM�N\:g{
%System%NeroCheck.dll B*B�HF�95!
以及%System%SVKP.sys文件。 �'iGM�n_&
使用%temp%delmeexe.bat批处理删除自身: W��=M�<
c@
@echo off P69>�gBZYD
:loop �b/�G8�M�r
del "exe" ;]"��n?uo�
del "%temp%delmeexe.bat" y#nSk%�"t"
if exist %temp%delmeexe.bat goto loop 字串9 w��0�\4�Wa
木马创建以下服务: L&rO����6�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] k~ZBJ+
94�
显示名:Indexing Services %!D_q��~"H
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language.
�{\�F�2*P
可执行文件的路径:%System%NeroCheck.exe �DZ�F[d�xH
清除步骤 @eA�� %(C
========== mn�Qal�>0~
1. 删除木马的.服务项: vB]3Xb3��a
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �v�r<��)Ay
2. 重新启动计算机 W3aXW,P.�V
3. 删除.木马文件: �7kO�E/>P?
%System%NeroCheck.exe #<D�@�3ScC
%System%NeroCheck.dll U�S"2�O�!u
%System%SVKP.sys #fJwC7 ��4
