病毒.名称:N/A(Kaspersky) 9���j�f2b�
病毒别名:Backdoor.Jusi.i(瑞星) -���F&*>?I
病毒大小:216,576 字节 ��94'��0X�
加壳方式:SVKP bM�>5=Z�ox
样本MD5:e17774b70be4427768180286a6889fae '� }�T6�dS
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d wvz_)b�N~A
传播方式:恶意网页、其它病毒下载 cr>�"��LAi
R�4�A�Kp1Y
技术分析 &O\$=&, �h
========== JW�9U&Bj�{
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: &Xp�<%[:�
文件版本:5.2.3790.1830 NsF8��`r�g
描述:Generic Host Process for Win32 Services 9�-hVlQ~�|
版权:(C) Microsoft Corporation. All rights reserved. EZ)$lw/�!J
产品.名称:Microsoft(R) Windows(R) Operating System M�]u���O%2
公司:Microsoft Corporation I%tJL��dL�
木马运行后复制自身到系统目录: ��:>��o2UH
%System%NeroCheck.exe (�aX6jd�vo
释放dll注入进程: xB�|?}u�S-
%System%NeroCheck.dll Uu(FFd��~3
以及%System%SVKP.sys文件。 |#J!oBS�!�
使用%temp%delmeexe.bat批处理删除自身: w�;]~��2$
@echo off c=u'#|/e�b
:loop hWAZ��P=H�
del "exe" "�!�z9U�iA
del "%temp%delmeexe.bat" IiB"F<&[j{
if exist %temp%delmeexe.bat goto loop 字串9 +^<-;/FZue
木马创建以下服务: �+ieRp�V�g
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] Ul��H�;0P?
显示名:Indexing Services vI0::ah�/�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. Y�~g�*"J5j
可执行文件的路径:%System%NeroCheck.exe >Ni<itze$i
清除步骤 g/BlTi���
========== _28�vf Bl?
1. 删除木马的.服务项: >*e��,+o�k
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �-Ou�@T#h"
2. 重新启动计算机 7#9�yAS+x(
3. 删除.木马文件: Xw]L'+V��=
%System%NeroCheck.exe .T�KKjS%�8
%System%NeroCheck.dll ��`%Jq^uW�
%System%SVKP.sys �HK4 *+���
