病毒.名称:N/A(Kaspersky) EA ]+v�q��
病毒别名:Backdoor.Jusi.i(瑞星) Lg8�nj< TF
病毒大小:216,576 字节 b0�i�S�n#$
加壳方式:SVKP S$���KFf=0
样本MD5:e17774b70be4427768180286a6889fae ���kEwa�T$
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d ~�wg:!VWA)
传播方式:恶意网页、其它病毒下载 QXCH(5a��s
]7-&�V-Ct*
技术分析 Q�t��_dEl�
========== �co�Y�i�j�
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: :0Z^uuk`gq
文件版本:5.2.3790.1830 �?�X@fK�Aj
描述:Generic Host Process for Win32 Services �(c0A.L�)
版权:(C) Microsoft Corporation. All rights reserved. ;iDPn2?6?x
产品.名称:Microsoft(R) Windows(R) Operating System :#dE�:L�;T
公司:Microsoft Corporation 2,EC�Yie�^
木马运行后复制自身到系统目录: �\�RNg�|�G
%System%NeroCheck.exe /M�b"V5S(W
释放dll注入进程: %%(R�@kh9
%System%NeroCheck.dll G\|,5H�E�D
以及%System%SVKP.sys文件。 s�4&^�D<��
使用%temp%delmeexe.bat批处理删除自身: �zD?o��Xs
@echo off V���_plq6z
:loop �I��V\J3N^
del "exe" �� >S$��Z
del "%temp%delmeexe.bat" �ss;�R�8:5
if exist %temp%delmeexe.bat goto loop 字串9 xsW�ur(>�]
木马创建以下服务: 5� ae2<Y=�
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] F~A���'��X
显示名:Indexing Services [O:
!(G�je
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. S�G6�sw]�x
可执行文件的路径:%System%NeroCheck.exe �j*�~T1i�
清除步骤 ySI~��{YVM
========== ���VfT�*7_
1. 删除木马的.服务项: �~-wPP��{!
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] j�x�Y��c�2
2. 重新启动计算机 (O0Ur���m
3. 删除.木马文件: R�|i�/lEq�
%System%NeroCheck.exe �H'Yh2a`!o
%System%NeroCheck.dll ��� i�2�~�
%System%SVKP.sys V5}�B:SUB�
