病毒.名称:N/A(Kaspersky) D�
zl#�[|q
病毒别名:Backdoor.Jusi.i(瑞星) 2ORWd�R.b�
病毒大小:216,576 字节 w�#X�E!�8`
加壳方式:SVKP H\^5>ccU>V
样本MD5:e17774b70be4427768180286a6889fae Q.�M3r�Rh�
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d �K& 2p<\�2
传播方式:恶意网页、其它病毒下载 tlq��D�Y1
�od?Q&'�A
技术分析 Av�P*p{w�e
========== 6t�/}�)�Xv
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: E(�]�yjZ/
文件版本:5.2.3790.1830 IO]���Oo3�
描述:Generic Host Process for Win32 Services �~�g>15b�3
版权:(C) Microsoft Corporation. All rights reserved. Tf�f�7�SEP
产品.名称:Microsoft(R) Windows(R) Operating System ��<Hm:#�<\
公司:Microsoft Corporation Ux�D1+\N6?
木马运行后复制自身到系统目录: �sOU_j4M{�
%System%NeroCheck.exe R0*DfJS:Z�
释放dll注入进程: >G/>:wwSP.
%System%NeroCheck.dll 3=sA]j-+(
以及%System%SVKP.sys文件。 � 6���~$�<
使用%temp%delmeexe.bat批处理删除自身: I�%�{^i d@
@echo off YfF&: "-NU
:loop Pgy�e{{���
del "exe" ;@v7A�F6Hq
del "%temp%delmeexe.bat" *M-�.Vor?R
if exist %temp%delmeexe.bat goto loop 字串9 ]��p+t>�'s
木马创建以下服务: W+G�u\=s%O
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] G9�Azd^��3
显示名:Indexing Services Nk}H�vg*�(
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. ;$[o�7Qm5r
可执行文件的路径:%System%NeroCheck.exe VJ�HHC.Kz�
清除步骤 iWQ���Bo>x
========== ����3S'V>:
1. 删除木马的.服务项: R%3H"FU9�w
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] |W*f��6�F3
2. 重新启动计算机 !!M�p;h'}-
3. 删除.木马文件: X]� ���Tb4
%System%NeroCheck.exe �$�V`�O%Sz
%System%NeroCheck.dll i&.F�}�bEi
%System%SVKP.sys 4B ���(*�{
