病毒.名称:N/A(Kaspersky) B&�@?�*^.�
病毒别名:Backdoor.Jusi.i(瑞星) Ry'= ke��
病毒大小:216,576 字节 !�P��-�^O�
加壳方式:SVKP IP(�Vr7-�v
样本MD5:e17774b70be4427768180286a6889fae L|,!?cSAT�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ;UfCj5`Q)4
传播方式:恶意网页、其它病毒下载 Z-l��=\ekJ
8|" X�SN��
技术分析 ����;A*`e$
========== :3I@(�k\PY
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: #Y4=�J
��6
文件版本:5.2.3790.1830 1~��PV�[2a
描述:Generic Host Process for Win32 Services
~/P�&Tub^
版权:(C) Microsoft Corporation. All rights reserved. ��\�ioH�\9
产品.名称:Microsoft(R) Windows(R) Operating System `|�/<�\�
公司:Microsoft Corporation �(Tbw3ENz�
木马运行后复制自身到系统目录: MgY0q?�.S=
%System%NeroCheck.exe #*�KNP��h
释放dll注入进程: lR(+tj)9uO
%System%NeroCheck.dll svq<)hAf�<
以及%System%SVKP.sys文件。 TTKs3iTX�z
使用%temp%delmeexe.bat批处理删除自身: �PF53mUs4�
@echo off =�W"F[��fD
:loop `I�3r3Wy�A
del "exe" r.B��I�Jt)
del "%temp%delmeexe.bat" � 0}�CGuws
if exist %temp%delmeexe.bat goto loop 字串9 M#�8uv-�L�
木马创建以下服务: �;S>])�5�<
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] (Kv#�m
3~
显示名:Indexing Services m8�o(J\�]�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. ]]*7\ :�cb
可执行文件的路径:%System%NeroCheck.exe �D/Mi�^5H)
清除步骤 sP�R1?:0�:
========== l��k(� }-�
1. 删除木马的.服务项: �`-p:v�q�`
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �OEk�N(w�F
2. 重新启动计算机 ��LS917ci-
3. 删除.木马文件: wf��:OK[r9
%System%NeroCheck.exe ^�Gq�t+K�%
%System%NeroCheck.dll N9v1[~ bv_
%System%SVKP.sys ]VD|xm:kj�
