病毒.名称:N/A(Kaspersky) .4F�c�ZJvy
病毒别名:Backdoor.Jusi.i(瑞星) 5q��ku�K�F
病毒大小:216,576 字节 �l�V6�[d8P
加壳方式:SVKP .]s(�c�!{y
样本MD5:e17774b70be4427768180286a6889fae 'Sy *'���&
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d -�Dxhq&
}Y
传播方式:恶意网页、其它病毒下载 I''R\B��p�
�A���{x
7�
技术分析 >04>rn#},,
========== Z�WR�Rh^��
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: bH�&)r�n��
文件版本:5.2.3790.1830 bTQa��'y`3
描述:Generic Host Process for Win32 Services g+� �1=�5g
版权:(C) Microsoft Corporation. All rights reserved. /:�{_|�P�\
产品.名称:Microsoft(R) Windows(R) Operating System ~uR6z//%��
公司:Microsoft Corporation n�,a�5LR��
木马运行后复制自身到系统目录: Evq�Ai/(�g
%System%NeroCheck.exe |EV���\a[�
释放dll注入进程: !F�O^:V<|5
%System%NeroCheck.dll #lsh�N,CPm
以及%System%SVKP.sys文件。 6mpg�&��'>
使用%temp%delmeexe.bat批处理删除自身: oX�lxPN3�9
@echo off _�c
]3nzIr
:loop �f��Cf#zV[
del "exe" K}E7�|gdG
del "%temp%delmeexe.bat" h<'��5�q&y
if exist %temp%delmeexe.bat goto loop 字串9 Oqpl2Y�"�/
木马创建以下服务: -jtC>�_/�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 1�4�n=�"-9
显示名:Indexing Services -N�8cj�r4l
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. O< �tnM<"(
可执行文件的路径:%System%NeroCheck.exe }i7�U�}��T
清除步骤 G�k"L%Zt�)
========== �k�o��EX4q
1. 删除木马的.服务项: Hn9F
gul&�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] VMZ]n%XRXW
2. 重新启动计算机 ]ZKt1@4�AY
3. 删除.木马文件: o47� � � f
%System%NeroCheck.exe ^Z>B/aJ�q�
%System%NeroCheck.dll xPDA475Cw3
%System%SVKP.sys p=_XM�h�`;
