病毒.名称:N/A(Kaspersky) y@ �.�b
4�
病毒别名:Backdoor.Jusi.i(瑞星) d?}hCo=/Xq
病毒大小:216,576 字节 #ov�M(Ml�d
加壳方式:SVKP ;@4sd%L�8V
样本MD5:e17774b70be4427768180286a6889fae UN�(��3i(d
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �)�Ga8`�t"
传播方式:恶意网页、其它病毒下载 P�W)8aLU��
6�s�y,A~e�
技术分析 H�� &�f�Th
========== D���a�CblX
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: [yF^I�lSs
文件版本:5.2.3790.1830 g]4y�AV�<2
描述:Generic Host Process for Win32 Services M:(&n�@e�
版权:(C) Microsoft Corporation. All rights reserved. )f[C[�Rd��
产品.名称:Microsoft(R) Windows(R) Operating System
%mL5+d-oP
公司:Microsoft Corporation ;�-��A�do8
木马运行后复制自身到系统目录: ==��`���Pb
%System%NeroCheck.exe �Wl
T�pX`�
释放dll注入进程: �WG\Q5k4Ba
%System%NeroCheck.dll 07Y��_^��d
以及%System%SVKP.sys文件。 g�-|Kyhr?=
使用%temp%delmeexe.bat批处理删除自身: 9C�=�~1>S
@echo off �Yx� 3|��G
:loop q;No"_aA�d
del "exe" �D}�A�u6
del "%temp%delmeexe.bat" QH:>jmC{1h
if exist %temp%delmeexe.bat goto loop 字串9 P�J�;�.31u
木马创建以下服务: W1`Dx�(g��
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] B'#4;R!8P=
显示名:Indexing Services pJoc��I_v9
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. P�Y���\�W
可执行文件的路径:%System%NeroCheck.exe T�+(�M8�qb
清除步骤 (gD�Q\t@3-
========== X98�#�QR#m
1. 删除木马的.服务项: l�J�l�hl7
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �$':��JI#
2. 重新启动计算机 6+�?w�n�p-
3. 删除.木马文件: ��4�u��PH�
%System%NeroCheck.exe y:�C)%cv}*
%System%NeroCheck.dll L9$&-A9�ix
%System%SVKP.sys ��$�)f"K�
