病毒.名称:N/A(Kaspersky) �22�)0zY%\
病毒别名:Backdoor.Jusi.i(瑞星) x[vp�o�B+c
病毒大小:216,576 字节 9GMH*=3[=
加壳方式:SVKP ��K-��2�.E
样本MD5:e17774b70be4427768180286a6889fae +"k.E
x0:
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d M|��/o�F�V
传播方式:恶意网页、其它病毒下载 �c=b+g+*xd
�rQ`�\JE&`
技术分析 �[kPD`be2#
========== -� *:p�.(c
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 0n4g�$J�K7
文件版本:5.2.3790.1830 p//�T7r�s�
描述:Generic Host Process for Win32 Services �M0cd-Dn��
版权:(C) Microsoft Corporation. All rights reserved. 6�9t��7=r�
产品.名称:Microsoft(R) Windows(R) Operating System If~95fy�~c
公司:Microsoft Corporation S�p 7u_Pq{
木马运行后复制自身到系统目录: 1�pd 9s8CA
%System%NeroCheck.exe -h>Z,-DE6�
释放dll注入进程: ��/3J�z3�
%System%NeroCheck.dll �O���{PW�
以及%System%SVKP.sys文件。 A������5sf
使用%temp%delmeexe.bat批处理删除自身: �4cot�t^K.
@echo off 1)$�%��Jr
:loop W�t�>J`��
del "exe" X.s�*���>'
del "%temp%delmeexe.bat" �,%A)"doaG
if exist %temp%delmeexe.bat goto loop 字串9 t:�\l&R�&�
木马创建以下服务: k) "ao2iXL
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ~ct2`M$TL(
显示名:Indexing Services #X#8�y��nt
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. LyG���Uv�i
可执行文件的路径:%System%NeroCheck.exe �`q%U{�IR�
清除步骤 �8��h�@q��
========== h��a�CKv �
1. 删除木马的.服务项: YnS�bw3U.I
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] :d.1���;st
2. 重新启动计算机 Yg/}ghF\��
3. 删除.木马文件: 2R~6<W+&:>
%System%NeroCheck.exe d]��8_l1O�
%System%NeroCheck.dll �R�L6Vkd?�
%System%SVKP.sys @�|B�D|{k
