病毒.名称:N/A(Kaspersky) '/gx�jr��&
病毒别名:Backdoor.Jusi.i(瑞星) U#U�Venp�@
病毒大小:216,576 字节 d�d?x5|/#�
加壳方式:SVKP gavQb3�E�P
样本MD5:e17774b70be4427768180286a6889fae l\A}lC0?J�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d 6I5[^fv45G
传播方式:恶意网页、其它病毒下载 S+�Y��y��
}5f�I*��v�
技术分析 >��h/)�r6�
========== oJ4m�xi@|#
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �ZPxOds�1m
文件版本:5.2.3790.1830 sTYuwna~
�
描述:Generic Host Process for Win32 Services 8`rAE_n`�%
版权:(C) Microsoft Corporation. All rights reserved. M rH%hRV6R
产品.名称:Microsoft(R) Windows(R) Operating System z<�/X��n�N
公司:Microsoft Corporation �S�oM
]2^�
木马运行后复制自身到系统目录: gs`27�Gih�
%System%NeroCheck.exe (A�y�4B*|!
释放dll注入进程: '%�eaK_+�7
%System%NeroCheck.dll $J��;=Ux)$
以及%System%SVKP.sys文件。 $��+)x�)�1
使用%temp%delmeexe.bat批处理删除自身: =E6�i1x%�j
@echo off u}@��%�70A
:loop VW<"��c 5|
del "exe" ��zYgK$u^H
del "%temp%delmeexe.bat" j��.yr��5%
if exist %temp%delmeexe.bat goto loop 字串9 [�<�3Q$*Ew
木马创建以下服务: :'^�dy%&UB
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �L���u#�@~
显示名:Indexing Services [jtj~]�&mO
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. fi-�&[llg�
可执行文件的路径:%System%NeroCheck.exe v��I:�bl�~
清除步骤 �4{;8 ]/.a
========== Ph�7�(JV�{
1. 删除木马的.服务项: {]��/J�k07
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] GO�:1
Z?^
2. 重新启动计算机 >a�a�nLL�O
3. 删除.木马文件: W<Vz��d4hR
%System%NeroCheck.exe Pi�]s�<3PL
%System%NeroCheck.dll ZC\.};.���
%System%SVKP.sys {/�|8�g�(
