病毒.名称:N/A(Kaspersky) �B|�%=<1?�
病毒别名:Backdoor.Jusi.i(瑞星) eF"7[�_�+D
病毒大小:216,576 字节 �1,W%t�\D�
加壳方式:SVKP �"Q+'lA�[}
样本MD5:e17774b70be4427768180286a6889fae 3�l>P>[<o�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d IqE�Y.2KN�
传播方式:恶意网页、其它病毒下载 �Tm_vo-���
E��]_lYYkA
技术分析 &I?1(t~h�T
========== 7�(~^6Ql�!
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 96vv�85��g
文件版本:5.2.3790.1830 3�O�Fv_<�6
描述:Generic Host Process for Win32 Services ;4F[*VF�!w
版权:(C) Microsoft Corporation. All rights reserved. <HG~#oBRq
产品.名称:Microsoft(R) Windows(R) Operating System B�w"�L!sZ�
公司:Microsoft Corporation �`S<uh9/�
木马运行后复制自身到系统目录: (H+�'sf^�h
%System%NeroCheck.exe wH!�]�B-hn
释放dll注入进程: +:It1`�A~]
%System%NeroCheck.dll �+F� 6KGK[
以及%System%SVKP.sys文件。 �6%I���D�*
使用%temp%delmeexe.bat批处理删除自身: �uGLVY�%N�
@echo off H�qOSQ<-Fo
:loop �*ARro
Ndr
del "exe" U*k$pp6\b~
del "%temp%delmeexe.bat" hS
�+;HB�,
if exist %temp%delmeexe.bat goto loop 字串9 4c�J�7.Pez
木马创建以下服务: xzM�a[D4(�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] `X^�4~�6/q
显示名:Indexing Services pW�ps-e���
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �e7�/J:n$�
可执行文件的路径:%System%NeroCheck.exe GG;�M/}E9
清除步骤 b�]Rn�Cu�"
========== 9�A��3Q&@,
1. 删除木马的.服务项: &)fPz��-s�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ��4pq��>�R
2. 重新启动计算机 ?Dm!�;Z+7
3. 删除.木马文件: H�:9(
�XW
%System%NeroCheck.exe �)�R���,�*
%System%NeroCheck.dll %<DR��rK�t
%System%SVKP.sys PpU : 4;en
