病毒.名称:N/A(Kaspersky) [R�hO$c$[\
病毒别名:Backdoor.Jusi.i(瑞星) /(*q}R3Kfo
病毒大小:216,576 字节 �!l8PDjAE
加壳方式:SVKP �L#�sMSVC+
样本MD5:e17774b70be4427768180286a6889fae 8cIK���vHx
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d Ve; n}mJ?�
传播方式:恶意网页、其它病毒下载 /���
z�PO�
�@qA�S�*3j
技术分析 *�^ZV�8�c}
========== �V*��*~m9f
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: V�U3upy��<
文件版本:5.2.3790.1830 $<EM+oJ|ER
描述:Generic Host Process for Win32 Services JK5�gQ3C[
版权:(C) Microsoft Corporation. All rights reserved. ?���0SJ�fh
产品.名称:Microsoft(R) Windows(R) Operating System H<,gU�`&�R
公司:Microsoft Corporation }��19\.z&J
木马运行后复制自身到系统目录: ��\_f(M��|
%System%NeroCheck.exe n�{mfn�*r.
释放dll注入进程: �+�[mk<p�Q
%System%NeroCheck.dll ?Z/�V�~�,
以及%System%SVKP.sys文件。 ;��H���O�=
使用%temp%delmeexe.bat批处理删除自身: mC�VFS=8V�
@echo off ��/��y�}xX
:loop 2E'�UZ
�m
del "exe" z<?)�R��q"
del "%temp%delmeexe.bat" ��)jP1o�r
if exist %temp%delmeexe.bat goto loop 字串9 S.NPZ39}ZE
木马创建以下服务: 2c*GuF9(�0
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �/h3RmUy �
显示名:Indexing Services 8&slu{M-
t
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. +���cN8Y}V
可执行文件的路径:%System%NeroCheck.exe A3/k�@S-R2
清除步骤 1m���G-�}�
========== ��k�t:!
7
1. 删除木马的.服务项: �D�'�Q\�za
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �Ea�N6^�S=
2. 重新启动计算机 N`e[���:[
3. 删除.木马文件:
_w�+�Qy.�
%System%NeroCheck.exe c�V��F�"!.
%System%NeroCheck.dll R�ima;9.Y0
%System%SVKP.sys +2�3x��ev�
