病毒.名称:N/A(Kaspersky) v"bW�Vc~H
病毒别名:Backdoor.Jusi.i(瑞星) '�$tCA���S
病毒大小:216,576 字节 /Y7^��!3uM
加壳方式:SVKP <&5z0rDKWw
样本MD5:e17774b70be4427768180286a6889fae �pp��"X0�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d }@r2�3g%��
传播方式:恶意网页、其它病毒下载 ���D�B'��0
>f�]/VaMH{
技术分析 KUI{Z�� �I
========== �v ccH(T��
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: t%=7v�)IOE
文件版本:5.2.3790.1830 �E=s�h^Q(A
描述:Generic Host Process for Win32 Services TjW!-��s?S
版权:(C) Microsoft Corporation. All rights reserved. `fBQ?[0�5.
产品.名称:Microsoft(R) Windows(R) Operating System ��/%T��/@y
公司:Microsoft Corporation !m@cTB7i
�
木马运行后复制自身到系统目录: 2@|`Ugjptl
%System%NeroCheck.exe > G\0Z[<v,
释放dll注入进程: oB:7���R^a
%System%NeroCheck.dll 6>�vR5��pn
以及%System%SVKP.sys文件。 FOTe,�F.8�
使用%temp%delmeexe.bat批处理删除自身: �� �>G]JwO
@echo off Eb�nb-Lze,
:loop �wNf:�_^|}
del "exe" U�Ut�"8]@[
del "%temp%delmeexe.bat" y�Zleots�1
if exist %temp%delmeexe.bat goto loop 字串9 df�DjOZ�SL
木马创建以下服务: I5Vn#_q�+b
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] p*g Fr� hm
显示名:Indexing Services 02J/�=AC5�
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �t;8)M�$
p
可执行文件的路径:%System%NeroCheck.exe ;wv[';��J�
清除步骤 )�@g�[aRFa
========== 1W�USp;JMl
1. 删除木马的.服务项: �@��.t +�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] Bl�VHP�8/b
2. 重新启动计算机 �o=m5AUe?J
3. 删除.木马文件: �7)�rQf{q7
%System%NeroCheck.exe W5R/Ub@�g
%System%NeroCheck.dll m}]{Y'i]�R
%System%SVKP.sys k<�9,Y�pa
