病毒.名称:N/A(Kaspersky) 2oyTS*2u_&
病毒别名:Backdoor.Jusi.i(瑞星) [@f�w9�@_'
病毒大小:216,576 字节 ,:Qy%��k}f
加壳方式:SVKP Fa�:�fBs{
样本MD5:e17774b70be4427768180286a6889fae �(99P�9\[p
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d pLjet~2}iJ
传播方式:恶意网页、其它病毒下载 rH
Et]�Xa�
FKRO0%M4}Z
技术分析 #}�*w �&y�
========== ,#:*���d�l
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 6;�6��a.iZ
文件版本:5.2.3790.1830 �qk��VGa%^
描述:Generic Host Process for Win32 Services PLD�6�U�g�
版权:(C) Microsoft Corporation. All rights reserved. QW�z5�i��M
产品.名称:Microsoft(R) Windows(R) Operating System +aR.t@D+"Y
公司:Microsoft Corporation �D��;�VQoO
木马运行后复制自身到系统目录: &/R`\(�hEA
%System%NeroCheck.exe -��e0C
�Bp
释放dll注入进程: &D0s�u�K#
%System%NeroCheck.dll ?0
9�3'l�A
以及%System%SVKP.sys文件。 ,W�S�K
�'
使用%temp%delmeexe.bat批处理删除自身: �r!:W-Y%&#
@echo off 8|*#r���[x
:loop Z^5j.�d{e$
del "exe" Hx�Cq6Y_m<
del "%temp%delmeexe.bat" G8b/eW�t�P
if exist %temp%delmeexe.bat goto loop 字串9 A[���)od��
木马创建以下服务: RP 'V�EJ��
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] :ZG^`H/X1d
显示名:Indexing Services &�9X`t�CnL
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �-;9pZ'r��
可执行文件的路径:%System%NeroCheck.exe |`d,r.+P7�
清除步骤 ['~�j1!/;6
========== �'?7th>�pC
1. 删除木马的.服务项: �i��i&{gC
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] x d�D�R/KS
2. 重新启动计算机 >�fHg1�d2-
3. 删除.木马文件: KzD5>Xf]4$
%System%NeroCheck.exe ?|!167�/O�
%System%NeroCheck.dll 5y-8_)y�8o
%System%SVKP.sys W �_j`'WN/
