病毒.名称:N/A(Kaspersky) jJw�kuh8R�
病毒别名:Backdoor.Jusi.i(瑞星) 0�_eQ�latb
病毒大小:216,576 字节 |)_-Bi;MW`
加壳方式:SVKP :u%�$�0p>
样本MD5:e17774b70be4427768180286a6889fae >�Cg��O<\�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �\|Dei);�k
传播方式:恶意网页、其它病毒下载 �wz �-)1!
TF�+
�l5fv
技术分析 TA}�UY�7v�
========== EEf ]u7���
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: R_D���c)��
文件版本:5.2.3790.1830 �)�"O{D`uX
描述:Generic Host Process for Win32 Services 6&2LWaWMo$
版权:(C) Microsoft Corporation. All rights reserved. ;)!��"Ty|�
产品.名称:Microsoft(R) Windows(R) Operating System �G5]�1��s�
公司:Microsoft Corporation 9����-jO,l
木马运行后复制自身到系统目录: �KO]N%]:&~
%System%NeroCheck.exe ���[~Hg}-c
释放dll注入进程: �<x���S=#
%System%NeroCheck.dll %hT�4qzJ�j
以及%System%SVKP.sys文件。 aW5~Be$
�_
使用%temp%delmeexe.bat批处理删除自身: 7el<5c�hZ
@echo off X`20f1c6q>
:loop L~��F�T��r
del "exe" �AC��BQ3��
del "%temp%delmeexe.bat" �1�"K�*._K
if exist %temp%delmeexe.bat goto loop 字串9 rcbP$�t�vz
木马创建以下服务: �w.kC�BDL
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] heD,&�OX�
显示名:Indexing Services ���qjC_*X!
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. !}&"�W,,0
可执行文件的路径:%System%NeroCheck.exe :7;[`�bm(G
清除步骤 c��8'��Cq7
========== �{s��S_|sX
1. 删除木马的.服务项: $�T�
dC/#7
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �-a) �T6:e
2. 重新启动计算机 #7z|�mV�zH
3. 删除.木马文件: I
�8Y�*@$h
%System%NeroCheck.exe -Fwh3F��4g
%System%NeroCheck.dll ?�J��|4l[x
%System%SVKP.sys 'm1.��X-$V
