病毒.名称:N/A(Kaspersky) �uJ_"g�P�O
病毒别名:Backdoor.Jusi.i(瑞星) (�.J�8Q��
病毒大小:216,576 字节 (Gp|K��6��
加壳方式:SVKP �6(
~�DS9
样本MD5:e17774b70be4427768180286a6889fae r�xM)SC;�P
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ^�[u*m%UB�
传播方式:恶意网页、其它病毒下载 B��>{\qj)%
F3,djZq���
技术分析 ��$�0wF4$)
========== K26x�,m]�p
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �> qDHb'��
文件版本:5.2.3790.1830 N \�Wd�0�b
描述:Generic Host Process for Win32 Services -7\6��j#;l
版权:(C) Microsoft Corporation. All rights reserved. ;DN:Ag�XP
产品.名称:Microsoft(R) Windows(R) Operating System DU�O�S��L�
公司:Microsoft Corporation Z�+J;���nl
木马运行后复制自身到系统目录: ?&>H^}g�DZ
%System%NeroCheck.exe }y P98N5o
释放dll注入进程: /{7we$+,p�
%System%NeroCheck.dll AYLCdC�oK.
以及%System%SVKP.sys文件。 �
l�6uU�S
使用%temp%delmeexe.bat批处理删除自身: K-f��\�n�r
@echo off q oJ4��w�7
:loop �\y*,N^w�u
del "exe" ukH?O)0�O
del "%temp%delmeexe.bat" *iW$>�Yjb�
if exist %temp%delmeexe.bat goto loop 字串9 M�!E#��T-)
木马创建以下服务: �/naGn@m5u
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 7IV:�X�
_y
显示名:Indexing Services y�9'F D5\s
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. Q`�4]�\)Dp
可执行文件的路径:%System%NeroCheck.exe c-�, 6���k
清除步骤 �/�qalj\ud
========== nM,5KHU4�a
1. 删除木马的.服务项: ��-�ip�fGb
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] zMI0W�&P M
2. 重新启动计算机 (� O>o��N~
3. 删除.木马文件: OJH:k~]�0!
%System%NeroCheck.exe �6"UL�+$k�
%System%NeroCheck.dll �dS[="Set�
%System%SVKP.sys �H@R�2�mw�
