病毒.名称:N/A(Kaspersky) Q-�zd�J�t�
病毒别名:Backdoor.Jusi.i(瑞星) 1.���SkIu%
病毒大小:216,576 字节 5a(<%Q
<�"
加壳方式:SVKP 74�zSP/G�'
样本MD5:e17774b70be4427768180286a6889fae ,�w&:_�n
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d K!b8=� �K`
传播方式:恶意网页、其它病毒下载 pIV��q(�"&
B�DpF���}�
技术分析 �4&N$:��j<
========== ^��t78jf�l
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: *`KrVu 6�s
文件版本:5.2.3790.1830 b�V�3lE6z�
描述:Generic Host Process for Win32 Services 9NWloK6b�T
版权:(C) Microsoft Corporation. All rights reserved. �FD6�v�/Y�
产品.名称:Microsoft(R) Windows(R) Operating System `�Lz1{#F2G
公司:Microsoft Corporation lI�u�Xo�3
木马运行后复制自身到系统目录: %yaG,;>�U�
%System%NeroCheck.exe DuF7H�TN[K
释放dll注入进程: ���M^ 5e~y
%System%NeroCheck.dll ��w3#`1T`N
以及%System%SVKP.sys文件。 �V�:\]cGA{
使用%temp%delmeexe.bat批处理删除自身: 8Inx�/>eOI
@echo off WOO%Y�U =�
:loop +8�Ud�vM�N
del "exe" p�N$;!����
del "%temp%delmeexe.bat" �\�$;~7�4}
if exist %temp%delmeexe.bat goto loop 字串9 Z��5>V{��o
木马创建以下服务: ���j,��t�~
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] e d;��"bb�
显示名:Indexing Services L#j��|�2H|
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. 6�;�JP76PD
可执行文件的路径:%System%NeroCheck.exe o�zxY�H],
清除步骤 �Z( ��#Ln
========== �|�mj#
0
1. 删除木马的.服务项: �+t>XxYScx
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �T�_��~KxQ
2. 重新启动计算机 M�5Wl3�tZL
3. 删除.木马文件: =hcPTU-�QU
%System%NeroCheck.exe CT}' ")Bm
%System%NeroCheck.dll u�)7
]1e{�
%System%SVKP.sys ba�Ib�f@t/
