病毒.名称:N/A(Kaspersky) gXjV?"^kUl
病毒别名:Backdoor.Jusi.i(瑞星) E160A5B�Tx
病毒大小:216,576 字节 \Cii1\R�=�
加壳方式:SVKP �h@�[R6G|
样本MD5:e17774b70be4427768180286a6889fae �R00�e�isd
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d )�BwjZMJ.N
传播方式:恶意网页、其它病毒下载 +t?3T-�@Ks
s�D=�n95`v
技术分析 -�YC�OP�0
========== 7R�`mf��
�
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: Nd;�K��u6
文件版本:5.2.3790.1830 hC\�6-
�0u
描述:Generic Host Process for Win32 Services 49v��coHlf
版权:(C) Microsoft Corporation. All rights reserved. ��Qc p�m�!
产品.名称:Microsoft(R) Windows(R) Operating System R;j!��}D!4
公司:Microsoft Corporation ��e:5bzk!~
木马运行后复制自身到系统目录: xftBS�dV�E
%System%NeroCheck.exe c`�o7d)_Ke
释放dll注入进程: }b-g*d�n]5
%System%NeroCheck.dll Qn�JZr:4�b
以及%System%SVKP.sys文件。 2K3�{��hxB
使用%temp%delmeexe.bat批处理删除自身: �8��p:�j&F
@echo off �g�4l�
!xT
:loop /bi��}'H+#
del "exe" I=� &�stsH
del "%temp%delmeexe.bat" .da���v8n*
if exist %temp%delmeexe.bat goto loop 字串9 pim!.=vN/U
木马创建以下服务: #H���:7��@
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ROou�s4�MG
显示名:Indexing Services )/�wk�( O+
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. K�2<9�mDn&
可执行文件的路径:%System%NeroCheck.exe w�bst�8�*$
清除步骤 k<�"��oiCE
========== a�P�/T<QZ~
1. 删除木马的.服务项: rsy'q��(N[
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] F� 9@h|#an
2. 重新启动计算机 sn�)3Z��A
3. 删除.木马文件: 6=fSE=]D�Y
%System%NeroCheck.exe EUxG��Aj$-
%System%NeroCheck.dll @�g&ct�>@y
%System%SVKP.sys ���m5r��7�
