病毒.名称:N/A(Kaspersky) qp��7>��_B
病毒别名:Backdoor.Jusi.i(瑞星) B"�G;���"X
病毒大小:216,576 字节 �smSU�o��/
加壳方式:SVKP sp��JB6�n(
样本MD5:e17774b70be4427768180286a6889fae pBHr{��/\5
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d "]sr4�Jg=�
传播方式:恶意网页、其它病毒下载 lO:�[^�l?F
[�z?<'T��j
技术分析 F��77�~156
========== 2�91v
�R�]
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: R#oX��QaBJ
文件版本:5.2.3790.1830 E}~�GX���G
描述:Generic Host Process for Win32 Services �}�v`�5��
版权:(C) Microsoft Corporation. All rights reserved. �R��a.�<D.
产品.名称:Microsoft(R) Windows(R) Operating System 4��\t�9(_�
公司:Microsoft Corporation �hEDj"`Px�
木马运行后复制自身到系统目录: .Zo8K�wkFY
%System%NeroCheck.exe fk��=�_ �Y
释放dll注入进程: S/8xo@vct]
%System%NeroCheck.dll /�KH3v�!G0
以及%System%SVKP.sys文件。 |ONkRxr@�!
使用%temp%delmeexe.bat批处理删除自身: !}U&%2<69
@echo off )wm�XicURC
:loop !t�N]OQ)�'
del "exe" 7,Nd[
oL*7
del "%temp%delmeexe.bat" ?!b}Ir<1j�
if exist %temp%delmeexe.bat goto loop 字串9 w_6h
$"^�x
木马创建以下服务: |NL$�?� %I
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] !�x[���+rf
显示名:Indexing Services iG�M-#�{�5
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �EFhe�``��
可执行文件的路径:%System%NeroCheck.exe Y!}BmRLh2
清除步骤 ]^R;3k�U4Q
========== fZ�$8�PMZv
1. 删除木马的.服务项: H��>�k=�V<
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] iN<Tn8-YH6
2. 重新启动计算机 't2�"C�P�Z
3. 删除.木马文件: UfXqc��yY(
%System%NeroCheck.exe �Q@��n�xGm
%System%NeroCheck.dll �>t�Yp�tRP
%System%SVKP.sys �c)+IX;q-C
