病毒.名称:N/A(Kaspersky) ZD�D.��.j�
病毒别名:Backdoor.Jusi.i(瑞星) p8kr/uMP ;
病毒大小:216,576 字节 R��)M_|�ca
加壳方式:SVKP f6_];��]yP
样本MD5:e17774b70be4427768180286a6889fae Xcrk;!IB�?
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d pM{nh��00[
传播方式:恶意网页、其它病毒下载 f;&�]:2.�j
b��Hht�d_}
技术分析 V?P,&c?�84
========== Di��@G�Y!
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: N�[<H7_/3
文件版本:5.2.3790.1830 Nru7(ag�1~
描述:Generic Host Process for Win32 Services �+$�$���$�
版权:(C) Microsoft Corporation. All rights reserved. #'-S�h7ycW
产品.名称:Microsoft(R) Windows(R) Operating System �U�K�$ms~H
公司:Microsoft Corporation `6�[I^qG".
木马运行后复制自身到系统目录: J�[A14z]#`
%System%NeroCheck.exe eVt$7d?�Jw
释放dll注入进程: @*0cMO;SpG
%System%NeroCheck.dll _bzqd"
31I
以及%System%SVKP.sys文件。 H�J2*�y�|u
使用%temp%delmeexe.bat批处理删除自身: 21�pp�SN�>
@echo off coo��UE<a
:loop ��6\u!E~zy
del "exe" ��h)6GaJ=
del "%temp%delmeexe.bat" r6;$1��K*0
if exist %temp%delmeexe.bat goto loop 字串9 ZxG}ViS4I
木马创建以下服务: �(]RM6i��7
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] SG?Nsp^%`B
显示名:Indexing Services 7}G�K%H�-u
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. LAP�6U.m'd
可执行文件的路径:%System%NeroCheck.exe 6�ns! ~g@�
清除步骤 kM�'"4[,nz
========== ��"F�3]X)}
1. 删除木马的.服务项: HxB�m~Lcqy
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �3)ma\+< 6
2. 重新启动计算机 2�8h�Habd|
3. 删除.木马文件: {��TO���mv
%System%NeroCheck.exe h'i{&m�S_b
%System%NeroCheck.dll SFb{o�<0 =
%System%SVKP.sys nLwiCf���e
