病毒.名称:N/A(Kaspersky) x0.&fC�h%
病毒别名:Backdoor.Jusi.i(瑞星) w|Zq5|�[��
病毒大小:216,576 字节 M(�Jf&h�4b
加壳方式:SVKP ��DBCL+QHA
样本MD5:e17774b70be4427768180286a6889fae 9foQ0�#R�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �g%�j� z,|
传播方式:恶意网页、其它病毒下载 �s`�C#=l4
dp�)lH�BV�
技术分析 )�~d2`1zGS
========== ^!�{oyw
��
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 9<7Q�����{
文件版本:5.2.3790.1830 $�0LlaN@e
描述:Generic Host Process for Win32 Services �a9Qa�F�s"
版权:(C) Microsoft Corporation. All rights reserved. @pytHN8( $
产品.名称:Microsoft(R) Windows(R) Operating System 1{o�
CMq/v
公司:Microsoft Corporation -#�<,�i�'�
木马运行后复制自身到系统目录: s�f\;|�`}�
%System%NeroCheck.exe �.%-�>����
释放dll注入进程: ��NXeo&+F�
%System%NeroCheck.dll TM���!R[-\
以及%System%SVKP.sys文件。 Vz� 5�:73�
使用%temp%delmeexe.bat批处理删除自身: 1b6g�Tf��U
@echo off xO1d^�{~^^
:loop =AgY8cF!sl
del "exe" ��,)]ZD� H
del "%temp%delmeexe.bat" \`�>�Y����
if exist %temp%delmeexe.bat goto loop 字串9 t� T-]Vj.�
木马创建以下服务: 6ap,XFR�Mh
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] z�@~1�e]%
显示名:Indexing Services <�]wN/B-8J
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �
C&e�����
可执行文件的路径:%System%NeroCheck.exe %�Pa�-�fee
清除步骤 `9K'I-hv<8
========== _tjFb_�}Q
1. 删除木马的.服务项: ���5�R"b1�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] W:rzf�O.`Z
2. 重新启动计算机 ^~BJu#uVyy
3. 删除.木马文件: e1�<28g��
%System%NeroCheck.exe "��a,Tc2xk
%System%NeroCheck.dll @Zq,mPaR�$
%System%SVKP.sys _LK>3�S�qd
