病毒.名称:N/A(Kaspersky) B6k<#-H�AT
病毒别名:Backdoor.Jusi.i(瑞星) -d�B��WpT�
病毒大小:216,576 字节 �>>�$`]�]7
加壳方式:SVKP &k%>�u�[Bo
样本MD5:e17774b70be4427768180286a6889fae ��/G'3��!S
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d A8*zB=�C��
传播方式:恶意网页、其它病毒下载 �C�Ce>*tdf
|�&r�CX�fC
技术分析 BB(6[V"S�V
========== LrbD%2U$j5
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: ;VAyH(��'~
文件版本:5.2.3790.1830 79W^;��\3�
描述:Generic Host Process for Win32 Services 2*V[kmD/3�
版权:(C) Microsoft Corporation. All rights reserved. ��~r�5S�{&
产品.名称:Microsoft(R) Windows(R) Operating System !h7.xl OpN
公司:Microsoft Corporation 5HV�+7�zU5
木马运行后复制自身到系统目录: ,_RNZ
sa;&
%System%NeroCheck.exe XgHJ O��qt
释放dll注入进程: -"�d�t3$ju
%System%NeroCheck.dll DI�{���*�E
以及%System%SVKP.sys文件。 ;�s/<wx-C
使用%temp%delmeexe.bat批处理删除自身: �4$pV;x�V�
@echo off }}QR�'���
:loop �3>@VPMi
del "exe" �zZ8��*a\�
del "%temp%delmeexe.bat" -;L'Jb>s76
if exist %temp%delmeexe.bat goto loop 字串9 , i5�_�4�
木马创建以下服务: ?}4,s7��PR
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] ebQ��gk
Y=
显示名:Indexing Services :1>�?:3,�`
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. �@
g��Wd�
可执行文件的路径:%System%NeroCheck.exe 7<]
EH:��9
清除步骤 p�|�i�nk):
========== �P�����a{�
1. 删除木马的.服务项: f(��Of+> �
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] �z m$Sw0#(
2. 重新启动计算机 Wq1 �jT�IQ
3. 删除.木马文件: 6�~�x'~��T
%System%NeroCheck.exe 2]]v|Z�2M4
%System%NeroCheck.dll P�$#:�$U�@
%System%SVKP.sys �PVBz~r�G
