病毒.名称:N/A(Kaspersky) 1T�e:���&d
病毒别名:Backdoor.Jusi.i(瑞星) �+vJ[k��2d
病毒大小:216,576 字节 X}�g!���Lp
加壳方式:SVKP �U�grc�y7�
样本MD5:e17774b70be4427768180286a6889fae Z7OWpujCvN
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d 5C2 *f�4|�
传播方式:恶意网页、其它病毒下载 J[]YG�+r��
�.M�l}cE$L
技术分析 ]cFqK�s���
========== RqH��"+/wR
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: �Rs5G5W@"A
文件版本:5.2.3790.1830 nj��
�#�Ab
描述:Generic Host Process for Win32 Services �&!m�;s_gi
版权:(C) Microsoft Corporation. All rights reserved. 2��h�u;�N
产品.名称:Microsoft(R) Windows(R) Operating System :�DQHb"�(
公司:Microsoft Corporation 6g( 2�O[n.
木马运行后复制自身到系统目录: �;^t�<LhN:
%System%NeroCheck.exe �Q�H#|R92:
释放dll注入进程: @��P[Tu; 4
%System%NeroCheck.dll q�nru�at�A
以及%System%SVKP.sys文件。 �X�[BKF8,�
使用%temp%delmeexe.bat批处理删除自身: ��&LH�Q)�?
@echo off [V�}I34�UN
:loop �Mg-Kh��}U
del "exe" ^��ta�e
(}
del "%temp%delmeexe.bat" �S}�ZM�;M�
if exist %temp%delmeexe.bat goto loop 字串9 }U%��2)M��
木马创建以下服务: jjE�kz� 5�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ;o"}7'4*R%
显示名:Indexing Services �O�_(�/uLH
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �[� ��@&��
可执行文件的路径:%System%NeroCheck.exe p@>_1A}qh_
清除步骤 ��R\1#)3e0
========== H4��Pj �3'
1. 删除木马的.服务项: T%?<3�/Ev!
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] #
