病毒.名称:N/A(Kaspersky) v|<�Dc8i+
病毒别名:Backdoor.Jusi.i(瑞星) l;b5�v�]~
病毒大小:216,576 字节 L'`W5��B@
加壳方式:SVKP )PVX)2�P_C
样本MD5:e17774b70be4427768180286a6889fae #3f\,4K��5
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d wk��<QYLEk
传播方式:恶意网页、其它病毒下载 x�o�A\^AA�
:%{�MMhb�x
技术分析 gmJiK�uAL5
========== 6�6,�?f<b
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: ���g0 �\c
文件版本:5.2.3790.1830 �C(Y�k��-7
描述:Generic Host Process for Win32 Services OA�EJ��?ik
版权:(C) Microsoft Corporation. All rights reserved. D"�El6<3)h
产品.名称:Microsoft(R) Windows(R) Operating System %�TyR8
�%�
公司:Microsoft Corporation =.#*MYB.�l
木马运行后复制自身到系统目录: �aF;�Q��SI
%System%NeroCheck.exe f5IO<(�:E^
释放dll注入进程: .\7R/cP}{A
%System%NeroCheck.dll N�0,.cd]y`
以及%System%SVKP.sys文件。 �hug8Hhf_&
使用%temp%delmeexe.bat批处理删除自身: & ;i�e+�/B
@echo off 6�!
\a8q'z
:loop N5��Eb.a9S
del "exe" ~N&j6wHg�#
del "%temp%delmeexe.bat" U{"��&Jj��
if exist %temp%delmeexe.bat goto loop 字串9 ���S�^]i�
木马创建以下服务: Q��7g�Bxp
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] f`�*Ip?V-
显示名:Indexing Services g<-x"�$(C&
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. v�[T5D���:
可执行文件的路径:%System%NeroCheck.exe DB-4S-�2��
清除步骤 �Q��+�*�o-
========== Z�)Nl\e& M
1. 删除木马的.服务项: i:�0�~%�X
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] U{�gJn#e/.
2. 重新启动计算机 <�v&>&;>3�
3. 删除.木马文件: 8Q�V�+DDZx
%System%NeroCheck.exe D:sQHJ.��y
%System%NeroCheck.dll ~T7\lJ�{%G
%System%SVKP.sys D��0/ �\��
