病毒.名称:N/A(Kaspersky) i7iL[+f]Q
病毒别名:Backdoor.Jusi.i(瑞星) ��Q��v#]T,
病毒大小:216,576 字节 h�]I ��^%7
加壳方式:SVKP Ty7x�jIs��
样本MD5:e17774b70be4427768180286a6889fae �p2\@E}
�z
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ?v6xa�V�g:
传播方式:恶意网页、其它病毒下载 S�DZ/r�C!C
o4U9jU4�<"
技术分析 wPyfn�e?~,
========== c!b4Y�4e�J
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 6?r}bs6Msx
文件版本:5.2.3790.1830 &�S/KR$^ %
描述:Generic Host Process for Win32 Services h�(�ZZ7(ue
版权:(C) Microsoft Corporation. All rights reserved. y�H irm�|o
产品.名称:Microsoft(R) Windows(R) Operating System K;�Fy�&p^d
公司:Microsoft Corporation G8j$&1�`:�
木马运行后复制自身到系统目录: T�$!�.
:�v
%System%NeroCheck.exe |��
X! d*4
释放dll注入进程: :�W^
k3�/t
%System%NeroCheck.dll �ZPRkk?M}.
以及%System%SVKP.sys文件。 ������%R."
使用%temp%delmeexe.bat批处理删除自身: sZ�_�+6+ :
@echo off '�,~,h�J0
:loop ��`i�;��f�
del "exe" kyM�WO�*>|
del "%temp%delmeexe.bat" Rjt�]^gb!*
if exist %temp%delmeexe.bat goto loop 字串9 `5:b=^'D�/
木马创建以下服务: zW8rC��!��
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] v�e<D[jQsk
显示名:Indexing Services O(#D�aFJv�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �zr�2oU '+
可执行文件的路径:%System%NeroCheck.exe �4YMX��;W
清除步骤 E��{*�d�`n
========== ��OF�-�$*
1. 删除木马的.服务项: ^z)p�@sk�#
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ^-�Bx �zOp
2. 重新启动计算机 q�-}q��r�g
3. 删除.木马文件: �B^nE��^"b
%System%NeroCheck.exe d�#NG]V/
�
%System%NeroCheck.dll ^\K�ZE|^3@
%System%SVKP.sys WS6'R� ���
