病毒.名称:N/A(Kaspersky) P�3Lsfi�.
病毒别名:Backdoor.Jusi.i(瑞星) 'g'R�XC}D>
病毒大小:216,576 字节 !J X��7y%J
加壳方式:SVKP '-[�h�y>�t
样本MD5:e17774b70be4427768180286a6889fae Z�~8%bfpe�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �&NoA, `|7
传播方式:恶意网页、其它病毒下载 WWZ<[[�� >
�� (FaYagD
技术分析 ��=�s]2?�m
========== q1x[hv3
pP
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �~9y�K�MUf
文件版本:5.2.3790.1830 tgi%#8ZDpz
描述:Generic Host Process for Win32 Services vR2�);ywX�
版权:(C) Microsoft Corporation. All rights reserved. r�=�vY-p��
产品.名称:Microsoft(R) Windows(R) Operating System 5$HG#2"Kb#
公司:Microsoft Corporation R9��#a��r{
木马运行后复制自身到系统目录: y�%�61xA`#
%System%NeroCheck.exe �bu_@A^ys�
释放dll注入进程: �^"�54Q^SH
%System%NeroCheck.dll |��u�w48*t
以及%System%SVKP.sys文件。 Fw{@R�Qf8
使用%temp%delmeexe.bat批处理删除自身: V&vG.HAT�
@echo off V\{�@c%�xW
:loop M�<*Tp^Y'�
del "exe" �bn8maY�UZ
del "%temp%delmeexe.bat" |)�Dm.)/0)
if exist %temp%delmeexe.bat goto loop 字串9 !t"/w6X1I
木马创建以下服务: ��"c]9Q��%
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] {k-�_�+#W"
显示名:Indexing Services <#nU 06 fN
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �UI�U:�^g0
可执行文件的路径:%System%NeroCheck.exe /HhA2 (g%�
清除步骤 fKq�r$59>
========== �b�P�P�@��
1. 删除木马的.服务项: i�p�p`9��9
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] X�{,�mj"(w
2. 重新启动计算机 ex1!7A!�}g
3. 删除.木马文件: l�y0L)L]�\
%System%NeroCheck.exe &oB*gGRw=7
%System%NeroCheck.dll F�+Qnf'at1
%System%SVKP.sys .S#i/�A'x�
