病毒.名称:N/A(Kaspersky) $��fwj8S7$
病毒别名:Backdoor.Jusi.i(瑞星) 3w�8v.J�8q
病毒大小:216,576 字节 �K_-�S`-eH
加壳方式:SVKP d�G)�}H��_
样本MD5:e17774b70be4427768180286a6889fae H,;�9' *84
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �,�� RU� �
传播方式:恶意网页、其它病毒下载 ,"Nb;Y��hg
�wLKC�6@
W
技术分析
�QJ,~�K&?
========== U�]"6KS��
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: t:%u4\n�Z;
文件版本:5.2.3790.1830 q��U^`fIa
描述:Generic Host Process for Win32 Services ��3^]��K�d
版权:(C) Microsoft Corporation. All rights reserved. �n!L}4Nmp�
产品.名称:Microsoft(R) Windows(R) Operating System ��bq z*90�
公司:Microsoft Corporation K
Vn�z{cx`
木马运行后复制自身到系统目录: JnS�@}���m
%System%NeroCheck.exe ��]U�ul~T�
释放dll注入进程: ;�� Z�2��
%System%NeroCheck.dll ;e��C8|
Xz
以及%System%SVKP.sys文件。 �,E�H^3ODD
使用%temp%delmeexe.bat批处理删除自身: C�Jt(c,!�z
@echo off 6JD��~G�\$
:loop 7�@Xi�*Azd
del "exe" J�Pq��' C$
del "%temp%delmeexe.bat" ��"LM[WcDX
if exist %temp%delmeexe.bat goto loop 字串9 ,y�TT,)@<
木马创建以下服务: v(l�:N@�L�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] j�9|1G-�CM
显示名:Indexing Services J )UC��y;Y
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. Bs\&���'=l
可执行文件的路径:%System%NeroCheck.exe e�\�! i�c
清除步骤 vq1�u�!�SY
========== !wIrI/�P7#
1. 删除木马的.服务项: .F@ 2�C
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] 4K$_d,4`U�
2. 重新启动计算机 R2y~+tko?�
3. 删除.木马文件: H'jo�3d�~+
%System%NeroCheck.exe F+�9(*|x%�
%System%NeroCheck.dll ^�\w!D{Y7Q
%System%SVKP.sys ye`-��U?7.
