病毒.名称:N/A(Kaspersky) Y���?�>u�s
病毒别名:Backdoor.Jusi.i(瑞星) �5Si\hk�:o
病毒大小:216,576 字节 )�"o+wSI�1
加壳方式:SVKP w>W`8P�_b@
样本MD5:e17774b70be4427768180286a6889fae �Y4�B<�]C4
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ef;T�a�|�#
传播方式:恶意网页、其它病毒下载 3]9twfF 'J
FTg��4i\Wp
技术分析 ��fx78��3�
========== Gqr�Oj++>�
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 23;e��/Q�r
文件版本:5.2.3790.1830 _\tGm�ME37
描述:Generic Host Process for Win32 Services H~P"uYKIZ
版权:(C) Microsoft Corporation. All rights reserved. 7q]�� @Jx9
产品.名称:Microsoft(R) Windows(R) Operating System M��:~/e8Xv
公司:Microsoft Corporation 'C�9H6)Zq)
木马运行后复制自身到系统目录: M�K<VjpP0(
%System%NeroCheck.exe 426)H�_wx
释放dll注入进程: 0kD�8w�j%�
%System%NeroCheck.dll VnJ-n��f�A
以及%System%SVKP.sys文件。 D-8�>?�`n\
使用%temp%delmeexe.bat批处理删除自身: �/Jc?;@�{�
@echo off QS~;�C&1Hl
:loop xmDX1�sL**
del "exe" 8�O�]U&�A@
del "%temp%delmeexe.bat" J9LS6�~�
7
if exist %temp%delmeexe.bat goto loop 字串9 !�_`T8pJ�`
木马创建以下服务: k�"P2J}4eO
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �R�TSR-<{z
显示名:Indexing Services LC/w".oq�?
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. ,<lxq�<1I�
可执行文件的路径:%System%NeroCheck.exe 8i;N|:Wd�H
清除步骤 4M�8AYh2)
========== G5Ci"���0�
1. 删除木马的.服务项: 0NSn5���Hq
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] G��c9�^Z=�
2. 重新启动计算机 �x�ae�rM�r
3. 删除.木马文件: xLZ���Q\2q
%System%NeroCheck.exe xQ7�n$.?y@
%System%NeroCheck.dll r�2T?LO0N{
%System%SVKP.sys k~Pm.@,3o�
