病毒.名称:N/A(Kaspersky) �<mpkkCl,�
病毒别名:Backdoor.Jusi.i(瑞星) 7=��=Uoy*O
病毒大小:216,576 字节 4g6d6~098;
加壳方式:SVKP eX=W�+&lj
样本MD5:e17774b70be4427768180286a6889fae �AttDD{Ta�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d 5r.�{vQ���
传播方式:恶意网页、其它病毒下载 K(_��n�fE{
-JcfP+{w�S
技术分析 ;}�r#�08I
========== ub-Z�rC�'�
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: K�QEn�C`Nz
文件版本:5.2.3790.1830 `InS8P��Lr
描述:Generic Host Process for Win32 Services _�/K�N�98+
版权:(C) Microsoft Corporation. All rights reserved. YS;Q�l\4��
产品.名称:Microsoft(R) Windows(R) Operating System g�n'. 9";j
公司:Microsoft Corporation 1(m8�9�C[�
木马运行后复制自身到系统目录: %=��Gn�Ggu
%System%NeroCheck.exe �\s,ZE6dQ
释放dll注入进程: E$R��H+):|
%System%NeroCheck.dll ���p�N?��
以及%System%SVKP.sys文件。 7^ER?@:�W�
使用%temp%delmeexe.bat批处理删除自身: o�r0f%wAF
@echo off �@k6�>�&PS
:loop �&u.�t5m7(
del "exe" ]A'E61t<�n
del "%temp%delmeexe.bat" {
c]y<q���
if exist %temp%delmeexe.bat goto loop 字串9 �H1N%uk=kV
木马创建以下服务: rR/P�nVu�p
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] G6L���'RP
显示名:Indexing Services � aj1�Zi3h
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. TJ+yBMd*%
可执行文件的路径:%System%NeroCheck.exe 3C5<M�xtK
清除步骤 �edA.Va|0�
========== )y._�]is)b
1. 删除木马的.服务项: �x%0Q�� W�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 40mg�B��4I
2. 重新启动计算机 zU]�9�5�I�
3. 删除.木马文件: $+-2/=>�Xk
%System%NeroCheck.exe >8�E��I�m
%System%NeroCheck.dll yw�2sK�7��
%System%SVKP.sys \=�i>}S�g�
