病毒.名称:N/A(Kaspersky) x�.�>z��2.
病毒别名:Backdoor.Jusi.i(瑞星) ~u/E�nl7\-
病毒大小:216,576 字节 �SDc�D(��G
加壳方式:SVKP 3s��HC�1�+
样本MD5:e17774b70be4427768180286a6889fae HOtays,#<}
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �,K8PumM_
传播方式:恶意网页、其它病毒下载 �Bn}�@�w�O
�q���y�QPR
技术分析 s[8�<�@I*u
========== u�.�1u/o1"
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: 5�-5qm[�.;
文件版本:5.2.3790.1830 f���+-w~cN
描述:Generic Host Process for Win32 Services �U_��E�mp[
版权:(C) Microsoft Corporation. All rights reserved. RR*z3�i`PP
产品.名称:Microsoft(R) Windows(R) Operating System �U�IIunA�9
公司:Microsoft Corporation �V92e�#AR
木马运行后复制自身到系统目录: m��9.QGX\]
%System%NeroCheck.exe sW@4r/F>:D
释放dll注入进程: UOT~L4���G
%System%NeroCheck.dll 6TlkPM�$~2
以及%System%SVKP.sys文件。 e�8--q�V#<
使用%temp%delmeexe.bat批处理删除自身: �ib���;�:*
@echo off c]t����=#�
:loop �nke[}Hqf
del "exe" }eULc�gR�G
del "%temp%delmeexe.bat" �/XtxgO\T.
if exist %temp%delmeexe.bat goto loop 字串9 e
J2wK3��R
木马创建以下服务: )TV�yRY�Z1
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] .#lQZo6$\|
显示名:Indexing Services \/�S?.P#L~
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �}7wQFKME�
可执行文件的路径:%System%NeroCheck.exe ]C}z��3hhk
清除步骤 :�X,1K�R��
========== 8.'%wOU�@A
1. 删除木马的.服务项: /'!�F \ kz
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] +�w%MwPC7`
2. 重新启动计算机 ��po\Q�M�e
3. 删除.木马文件: �cQS}pQyYN
%System%NeroCheck.exe � UTH�GjE�
%System%NeroCheck.dll ~^KemwogPN
%System%SVKP.sys /8��Ca8Ju
