病毒.名称:N/A(Kaspersky) A<$~Q;r2a
病毒别名:Backdoor.Jusi.i(瑞星) <yt|!p-tS
病毒大小:216,576 字节 3(&f!<Uy
加壳方式:SVKP :xwyE(w
样本MD5:e17774b70be4427768180286a6889fae 'LC-/_g
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d 0o-.m
传播方式:恶意网页、其它病毒下载 u_31Db<
oJ4OVfknD
技术分析 +hiskV@ v
==========
^W8kt
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: zH)M,+P
文件版本:5.2.3790.1830 vU(uu:U9
描述:Generic Host Process for Win32 Services 5ub|r0&M
版权:(C) Microsoft Corporation. All rights reserved. o,(]w kF
产品.名称:Microsoft(R) Windows(R) Operating System cl,\N\
公司:Microsoft Corporation +q<G%PwbV
木马运行后复制自身到系统目录: E]@$,)nC
%System%NeroCheck.exe )O}q{4,}
释放dll注入进程: $f>h_8cla
%System%NeroCheck.dll 41^ =z[k
以及%System%SVKP.sys文件。 XWd;-%`<
使用%temp%delmeexe.bat批处理删除自身: {~*^jS']5
@echo off Ij w{g%
:loop @*>kOZ(3
del "exe" }X|*+<
del "%temp%delmeexe.bat" t,P_&0X
if exist %temp%delmeexe.bat goto loop 字串9 mc
FSWmq
木马创建以下服务: YmwUl> @{
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc]
}.DE521u
显示名:Indexing Services PPpq"c
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. B
r`a;yT
可执行文件的路径:%System%NeroCheck.exe (D5sJ$&E@\
清除步骤 h&|PHI
========== Mn>/\e
1. 删除木马的.服务项: UA0j#
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] .Tm m
2. 重新启动计算机 (g HCu
3. 删除.木马文件: ^osXM`
%System%NeroCheck.exe $:l>g)c
%System%NeroCheck.dll A.YXK%A%
%System%SVKP.sys E&z`BPd