病毒.名称:N/A(Kaspersky) vp-)$f&
病毒别名:Backdoor.Jusi.i(瑞星) sFB; /*C
病毒大小:216,576 字节 -*tP_=- Dg
加壳方式:SVKP J^1w& 40
样本MD5:e17774b70be4427768180286a6889fae 9Y*6AaKE6
样本SHA1:408004ef3de3eb50dd0ebfc3885ed319301e223d pspV~9,
传播方式:恶意网页、其它病毒下载 ^V>sNR
3QGg;
技术分析 |QxDjL<&t4
========== G?8,&jP~T
这又是一个版本信息模仿微软的木马,在文件属性的.版本里可以看到如下版本信息: CXJ0N
文件版本:5.2.3790.1830 })ss.
描述:Generic Host Process for Win32 Services J}<k`af
版权:(C) Microsoft Corporation. All rights reserved. .cle^P
产品.名称:Microsoft(R) Windows(R) Operating System )LH nDx
公司:Microsoft Corporation 3!ulBiMh
木马运行后复制自身到系统目录: eK3J9;X
%System%NeroCheck.exe !XgkK k
释放dll注入进程: hv7!x=?8
%System%NeroCheck.dll cH"M8gP#
以及%System%SVKP.sys文件。 ggX'`bK
使用%temp%delmeexe.bat批处理删除自身: 9<-AukK m
@echo off tjO||]I
:loop dkRJ^~
del "exe" c+-L>dsss
del "%temp%delmeexe.bat" WvNX%se]3
if exist %temp%delmeexe.bat goto loop 字串9 QbpRSdxy`$
木马创建以下服务: m", $M>
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] DhkzVp_
显示名:Indexing Services d<: VoQM6M
描述:Indexes contents and properties of files on loc.al and remote computers; provides rapid access to files through flexible querying language. {v~&.|
可执行文件的路径:%System%NeroCheck.exe 8ae]tX5$
清除步骤 q6/ o.j
========== }^P( p?~
1. 删除木马的.服务项: _.wLQL~y
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCiSvrc] sa*]q~a
2. 重新启动计算机 "S)4Cjk
3. 删除.木马文件: RQ9T<t42
%System%NeroCheck.exe 9k2HP]8=[{
%System%NeroCheck.dll <[[DS%(M^
%System%SVKP.sys &~^"yo#b