病毒.名称:N/A(Kaspersky) Ku�56TH!Py
病毒别名:Backdoor.Jusi.i(瑞星) O.�� �@_�2
病毒大小:216,576 字节 V=\&eS4^"
加壳方式:SVKP +X"TiA�7{j
样本MD5:e17774b70be4427768180286a6889fae �6e�/�2X<O
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ~��@�MIG��
传播方式:恶意网页、其它病毒下载 ���[Gy��sx
BX�2&t�QSp
技术分析 ;sCX_`t0E
========== 03AYW�)"}M
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: yz,ak�+wp�
文件版本:5.2.3790.1830 1&U'��pp|T
描述:Generic Host Process for Win32 Services rJ��KX4,M
版权:(C) Microsoft Corporation. All rights reserved. =`Nnd�@3�v
产品.名称:Microsoft(R) Windows(R) Operating System Fl�^�.J<Dz
公司:Microsoft Corporation �!Kd/
�lDY
木马运行后复制自身到系统目录: *�+lnAxRa?
%System%NeroCheck.exe ��`L7 c��S
释放dll注入进程: l,-sm�K69
%System%NeroCheck.dll e�nK4`+�.7
以及%System%SVKP.sys文件。 p�A"pt~6��
使用%temp%delmeexe.bat批处理删除自身: rh�/3N8�[6
@echo off �XNd:x��{�
:loop a�yHI(4!$j
del "exe" |]�Pigi7y-
del "%temp%delmeexe.bat" 4�-� �N>�#
if exist %temp%delmeexe.bat goto loop 字串9 ^FF�{7�1;�
木马创建以下服务: jZe]zdml��
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] p"JITH�:G�
显示名:Indexing Services hFyN|Dqhds
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. }DY^�a'wJ-
可执行文件的路径:%System%NeroCheck.exe b��o�JQ3Xc
清除步骤 q�S�+�'#Sn
========== SQ�W��A�{f
1. 删除木马的.服务项: �:.DCRs$Q
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] Cf��2r��RH
2. 重新启动计算机 Y�-7x*�*�I
3. 删除.木马文件: Db�z\�8gmY
%System%NeroCheck.exe o!�wz:|\S�
%System%NeroCheck.dll %`-N�WAXL
%System%SVKP.sys ^ D?;K8a-l
