病毒.名称:N/A(Kaspersky) �c�Nuuz��A
病毒别名:Backdoor.Jusi.i(瑞星) sqMNo��n`5
病毒大小:216,576 字节 >8F�{lbEe�
加壳方式:SVKP s�)�`1Rf��
样本MD5:e17774b70be4427768180286a6889fae g�4�.'T�51
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d 2>_brz|7:|
传播方式:恶意网页、其它病毒下载 IlC:��d�A
���32)&��;
技术分析 h0S�y']�3m
========== &�K}�(A�{
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: .�SRuyioF&
文件版本:5.2.3790.1830 Le#E�! �sU
描述:Generic Host Process for Win32 Services )ZQ�9�a4�%
版权:(C) Microsoft Corporation. All rights reserved. 4c�Vs�(`g^
产品.名称:Microsoft(R) Windows(R) Operating System R~x��;X�3�
公司:Microsoft Corporation s�[{:>~{iq
木马运行后复制自身到系统目录: �-x3tx�7�%
%System%NeroCheck.exe "p�6:e��kw
释放dll注入进程: ;/hH=I�T�
%System%NeroCheck.dll �RT_Pd\(qD
以及%System%SVKP.sys文件。 !4b�;�>y=m
使用%temp%delmeexe.bat批处理删除自身: �7�-G�'8�t
@echo off �0T�n|Q9R�
:loop �,h5�-rw'�
del "exe" JQ{zWJl�t
del "%temp%delmeexe.bat" �yv#c�=v�|
if exist %temp%delmeexe.bat goto loop 字串9 J �_�[e9�
木马创建以下服务: R"�\u�b"�]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] m�_P�rasZ>
显示名:Indexing Services 9L)�&n.t1
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. r�-\T}e2Gz
可执行文件的路径:%System%NeroCheck.exe Q�B.*�R?�A
清除步骤 ;?H��Z,"^I
========== AT'_0>�x�8
1. 删除木马的.服务项: '��nj&}�A'
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �fjK�]�m.w
2. 重新启动计算机 ]�B-$�p p�
3. 删除.木马文件: �.$ P2W0G�
%System%NeroCheck.exe �^S�;�R�X*
%System%NeroCheck.dll J}Z_.:JO(w
%System%SVKP.sys D�b�Ni;��m
