病毒.名称:N/A(Kaspersky) zu*h9}
病毒别名:Backdoor.Jusi.i(瑞星) nar=\cs~g
病毒大小:216,576 字节 ,/Xxj\i
加壳方式:SVKP ]Y,
7 X
样本MD5:e17774b70be4427768180286a6889fae qf
]ax!bK
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d :%s9<g;-h_
传播方式:恶意网页、其它病毒下载 h~<#1'/<
WukCE
技术分析 F7=a|g
========== u*H2kn[DU
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: ' Bdvqq
文件版本:5.2.3790.1830 spAYb<
描述:Generic Host Process for Win32 Services Qa"R?dfr
版权:(C) Microsoft Corporation. All rights reserved. qB"y'UW8
产品.名称:Microsoft(R) Windows(R) Operating System _"z#I
CT(
公司:Microsoft Corporation 3DgI.V6un
木马运行后复制自身到系统目录: 4?8GK
%System%NeroCheck.exe XjL( V1
释放dll注入进程: m@"!=CTKd
%System%NeroCheck.dll ox)/*c<
以及%System%SVKP.sys文件。 WqwD"WX+w
使用%temp%delmeexe.bat批处理删除自身: ];oED?I
@echo off i"U3wt|A
:loop XMuZ'I
del "exe" ?p\'S
w:
del "%temp%delmeexe.bat" Ip?Ueaei
if exist %temp%delmeexe.bat goto loop 字串9 mo<g'|0
木马创建以下服务: E-n!3RQ(w
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] v]vrD2L
显示名:Indexing Services Z;lE-`Z*(F
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language.
{T.$xiR
可执行文件的路径:%System%NeroCheck.exe 4oCnF+(
清除步骤 4}96|2L5
========== 0(0Ep(Vj
1. 删除木马的.服务项: >uxak2nM-
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] G=\rlH]N
2. 重新启动计算机 c1b@3
3. 删除.木马文件: EYMwg_
%System%NeroCheck.exe )WuuU [(
%System%NeroCheck.dll sp'q=^t
%System%SVKP.sys FVL0K(V(